Как отключить SSLv3 в Tomcat?


8

Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.

Я попробовал следующую ссылку ниже, однако это не помогает: архивы рассылки tomcat-users


1
Обратите внимание, что реальный ответ здесь будет зависеть от версии Tomcat: Tomcat 6 и Tomcat 7 имеют разные директивы конфигурации; и Tomcat 6 добавил некоторые конкретные директивы SSL где-то около 6.0.32. Директивы конфигурации зависят от того, используете ли вы JSSE, стихи APR / родные соединители. Поддержка TLS, указанная в параметрах, будет зависеть от вашей версии Java.
Стефан Ласевский

Ответы:


7

Добавьте приведенную ниже строку в файл server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

а затем удалить

sslProtocols="TLS"

проверить

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/


Это не работает для нас с Tomcat6.
Стефан Ласевский,

Это инструкции Tomcat 7. Для 6, перейдите на эту страницу и найдите «TLS»: tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html или посмотрите ответ Марко Поло ниже.
ГленПетерсон

1
Хм, этот документ Tomcat 6 говорит, что он поддерживает, sslEnabledProtocolsи на этой странице нет упоминаний sslProtocols. Это неточность в документах Tomcat или это зависит от JVM?
Брэдли

@Bradley Tomcat 6 изменил эти директивы где-то после Tomcat 6.0.36. Смотрите наш ответ на ServerFault на serverfault.com/a/637666/36178
Стефан Ласевский

2

С помощью

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

не работает для нас. Мы должны были использовать

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

и sslEnabledProtocolsсовсем не учел.


Какая версия Tomcat?
ГленПетерсон

Протестировано и подтверждено на
Tomcat

Это опечатка? Вы имели в виду sslProtocol(единственное) вместо sslProtocols(множественное число)? Документы Tomcat говорятsslProtocol , нет sslProtocols.
Стефан Ласевский

Ну, sslProtocolsу меня работает и на Tomcat 6. Мне кажется странным, что в документации упоминаются только sslProtocol(нет).
Стефан Ласевский

2

Все более современные браузеры Note работают как минимум с TLS1 . Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.

Протестируйте свой сервер на эту уязвимость с помощью nmap за несколько секунд:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Если ssl-enum-ciphers перечисляет раздел «SSLv3:» или любые другие разделы SSL, ваш сервер уязвим.

Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xmlсоединителе удалите

sslProtocols="TLS"

(или sslProtocol="SSL"аналогичный) и замените его следующим:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильную sslEnabledProtocolsстроку.


Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.