Как отключить SSLv3 в Tomcat?

8

Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.

Я попробовал следующую ссылку ниже, однако это не помогает: архивы рассылки tomcat-users

security ssl tomcat7

— Коннор Реллин
источник

1

Обратите внимание, что реальный ответ здесь будет зависеть от версии Tomcat: Tomcat 6 и Tomcat 7 имеют разные директивы конфигурации; и Tomcat 6 добавил некоторые конкретные директивы SSL где-то около 6.0.32. Директивы конфигурации зависят от того, используете ли вы JSSE, стихи APR / родные соединители. Поддержка TLS, указанная в параметрах, будет зависеть от вашей версии Java.

— Стефан Ласевский

Также см. ServerFault: serverfault.com/questions/637649/…

— Стефан Ласевский,

7

Добавьте приведенную ниже строку в файл server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

а затем удалить

sslProtocols="TLS"

проверить

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— Коннор Реллин
источник

Это не работает для нас с Tomcat6.

— Стефан Ласевский,

Это инструкции Tomcat 7. Для 6, перейдите на эту страницу и найдите «TLS»: tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html или посмотрите ответ Марко Поло ниже.

— ГленПетерсон

1

Хм, этот документ Tomcat 6 говорит, что он поддерживает, sslEnabledProtocolsи на этой странице нет упоминаний sslProtocols. Это неточность в документах Tomcat или это зависит от JVM?

— Брэдли

@Bradley Tomcat 6 изменил эти директивы где-то после Tomcat 6.0.36. Смотрите наш ответ на ServerFault на serverfault.com/a/637666/36178

— Стефан Ласевский

2

С помощью

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

не работает для нас. Мы должны были использовать

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

и sslEnabledProtocolsсовсем не учел.

— Марко Поло
источник

Какая версия Tomcat?

— ГленПетерсон

Протестировано и подтверждено на

— Tomcat

Это опечатка? Вы имели в виду sslProtocol(единственное) вместо sslProtocols(множественное число)? Документы Tomcat говорятsslProtocol , нет sslProtocols.

— Стефан Ласевский

Ну, sslProtocolsу меня работает и на Tomcat 6. Мне кажется странным, что в документации упоминаются только sslProtocol(нет).

— Стефан Ласевский

2

Все более современные браузеры Note работают как минимум с TLS1 . Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.

Протестируйте свой сервер на эту уязвимость с помощью nmap за несколько секунд:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Если ssl-enum-ciphers перечисляет раздел «SSLv3:» или любые другие разделы SSL, ваш сервер уязвим.

Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xmlсоединителе удалите

sslProtocols="TLS"

(или sslProtocol="SSL"аналогичный) и замените его следующим:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильную sslEnabledProtocolsстроку.

— GlenPeterson
источник

0

Для Tomcat 6, в дополнение к вышесказанному, нам также пришлось сделать следующее:

В server.xmlразъем добавьте:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Источник: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

— yoliho
источник