我有一台装有 Tomcat 7.0.59 和 Java 8u31 的 Windows 2008 服务器,我正在尝试确保 SSLv3 已禁用。查看 Java 的变更日志,应该不再支持 SSL3,并且 Java 控制面板甚至没有在高级安全设置选项中启用它的复选框。即便如此,我还是已sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"在 server.xml 中添加了 HTTP 连接器。运行 POODLE 漏洞扫描仍然显示能够通过 SSL3 进行连接。
还有什么其他可以查看的地方或工具可以帮助识别在此盒子上启用/支持 SSL3 的内容吗?
以下是完整的连接器配置,供参考:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
该服务器是运行在 VMWare 上的虚拟机,仅用于 CAS(JA-SIG 的单点登录实现)。系统上安装的其他程序:
- EMC 网络
- Sophos 防病毒/自动更新/远程管理系统
- TortoiseSVN