Weblogic 升级后缓解 POODLE 漏洞并仍然使用 CBC 密码

我最近将我的 Weblogic 服务器升级到 10.3.6，并安装了 Java 7。因此，我通过 setEnv.sh 启用了 TLS1.0 - TLS 1.2。我使用以下一些密码来确保它们兼容（受 Weblogic、FF37、Chrome 44 等支持）：

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

这是 config.xml 中的 ssl 标签。我也启用了 JSSE，以确保可以获得 TLS1.2 连接。

找到 Weblogic 10.3.6 支持的密码列表这里

我发现 SSL Labs 的一个问题是，使用这些密码，我仍然可能容易受到 POODLE 的攻击。

Nmap 扫描给了我以下密码：

| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|     compressors:
|       NULL
|_  least strength: strong

在 setEnv.sh 中启用 TLS1.1 和 TLS1.2 之前，我没有遇到过这个问题，所以我不确定为什么添加它们会改变发生的情况。现在我的问题是如何确保我已禁用 SSL3 但仍然能够使用一些 CBC 密码？或者有我需要的支持？

编辑：我知道 CBC 密码不太好...我愿意接受有关支持 TLS1.0+ 的密码和低至 IE 8 的浏览器的建议。