SSLv3.0/TLSv1.0 与某些加密技术(CBC 分组密码)结合使用可能允许攻击者预测后续 SSL 数据包的所谓初始化向量。攻击者可以利用此信息访问其他用户的安全会话。这种攻击称为 BEAST(针对 SSL/TLS 的浏览器漏洞),针对的是用户的浏览器,而不是 Web 服务器。不过,也可以在服务器端采取对策来防止攻击得逞。
这个问题的完整解决方案是使用 SSLv3.0/TLSv1.0 时禁用或降低对易受攻击的加密密码(CBC 分组密码)的支持。通常,这可以通过在密码协商过程中优先考虑 RC4 密码来实现。
对于支持 SSLv3.0/TLSv1.0 的 Apache Web 服务器,可以通过添加以下配置来进行配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
对于支持 SSLv3.1/TLSv1.1 及更高版本的 Apache Web 服务器,建议使用以下配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
据我所知,JBoss 7 基于支持 SSLv3.1/TLSv1.1 的 Apache 版本(也许我错了),因此第二种替代方案可以应用于 JBoss 7。
我的问题是:我应该在哪里/如何配置它?
答案1
我不确定这是否可以直接应用于 JBOSS,除非您想将 Apache 作为 JBOSS 的 Web 服务器前端。请查看以下功能请求以解决此问题,但由于问题仍未解决,因此尚未解决。 https://issues.jboss.org/browse/AS7-5501。