在 Tomcat 中禁用 SSLv3,但仍然显示 POODLE 漏洞

在 Tomcat 中禁用 SSLv3,但仍然显示 POODLE 漏洞

我有一台装有 Tomcat 7.0.59 和 Java 8u31 的 Windows 2008 服务器,我正在尝试确保 SSLv3 已禁用。查看 Java 的变更日志,应该不再支持 SSL3,并且 Java 控制面板甚至没有在高级安全设置选项中启用它的复选框。即便如此,我还是已sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"在 server.xml 中添加了 HTTP 连接器。运行 POODLE 漏洞扫描仍然显示能够通过 SSL3 进行连接。

还有什么其他可以查看的地方或工具可以帮助识别在此盒子上启用/支持 SSL3 的内容吗?

以下是完整的连接器配置,供参考:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
           keystoreFile="[filepath]" keystorePass="[password]"/>

该服务器是运行在 VMWare 上的虚拟机,仅用于 CAS(JA-SIG 的单点登录实现)。系统上安装的其他程序:

  • EMC 网络
  • Sophos 防病毒/自动更新/远程管理系统
  • TortoiseSVN

相关内容