Jak wyłączyć SSLv3 w tomcat?

8

Podaj poprawkę dotyczącą sposobu naprawy / obejścia luki w zabezpieczeniach SSLv3 POODLE (CVE-2014-3566)? dla Tomcat.

Próbowałem użyć poniższego linku, ale to nie pomaga: archiwa list dyskusyjnych użytkowników tomcat-users

security ssl tomcat7

— Connor Relleen
źródło

1

Pamiętaj, że prawdziwa odpowiedź będzie zależeć od wersji Tomcat: Tomcat 6 i Tomcat 7 mają różne dyrektywy konfiguracyjne; a Tomcat 6 dodał pewne konkretne dyrektywy SSL gdzieś w okolicach 6.0.32. Dyrektywy konfiguracji zależą od tego, czy korzystasz z JSSE wersetów APR / łączników natywnych. Obsługa TLS określona w parametrach będzie zależeć od wersji Java.

— Stefan Lasiewski

Zobacz także ServerFault: serverfault.com/questions/637649/…

— Stefan Lasiewski

7

Dodaj poniższy ciąg do programu server.xml connecter

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

a następnie usuń

sslProtocols="TLS"

sprawdzić

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— Connor Relleen
źródło

To nie działa dla nas z Tomcat6.

— Stefan Lasiewski

To są instrukcje Tomcat 7. W przypadku wersji 6 przejdź do tej strony i wyszukaj „TLS”: tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html lub sprawdź poniżej odpowiedź Marco Polo.

— GlenPeterson

1

Hmm, ten dokument Tomcat 6 mówi, że obsługuje sslEnabledProtocolsi nie ma wzmianki na tej stronie sslProtocols. Czy jest to niedokładność w dokumentach Tomcat, czy jest to zależne od JVM?

— Bradley

@Bradley Tomcat 6 zmienił te dyrektywy gdzieś po Tomcat 6.0.36. Zobacz naszą odpowiedź na ServerFault na serverfault.com/a/637666/36178

— Stefan Lasiewski

2

Za pomocą

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

nie działało dla nas. Musieliśmy użyć

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

i sslEnabledProtocolscałkowicie pominęli.

— Marco Polo
źródło

Jaka wersja Tomcat?

— GlenPeterson

Testowane i potwierdzone na tomcat 6.

— RobinCominotto

Czy to literówka? Miałeś na myśli sslProtocol(liczba pojedyncza) zamiast sslProtocols(liczba mnoga)? Dokumenty Tomcat mówiąsslProtocol , że nie sslProtocols.

— Stefan Lasiewski

Cóż, sslProtocolsdziała również dla mnie na Tomcat 6. Wydaje mi się dziwne, że dokumentacja tylko wspomina sslProtocol(nie ma).

— Stefan Lasiewski

2

Wszystkie bardziej nowoczesne przeglądarki notatek działają z co najmniej TLS1 . Nie ma już bezpiecznych protokołów SSL, co oznacza brak dostępu IE6 do bezpiecznych stron internetowych.

Przetestuj swój serwer pod kątem tej podatności za pomocą nmap w kilka sekund:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Jeśli ssl-enum-ciphers wymienia sekcję „SSLv3:” lub dowolną inną sekcję SSL, twój serwer jest podatny na atak.

Aby naprawić tę lukę na serwerze internetowym Tomcat 7 server.xml, usuń złącze

sslProtocols="TLS"

(lub sslProtocol="SSL"podobny) i zastąp go:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Następnie uruchom ponownie tomcat i przetestuj ponownie, aby sprawdzić, czy SSL nie jest już akceptowany. Dzięki Connor Relleen za prawidłowy sslEnabledProtocolsciąg.

— GlenPeterson
źródło

0

W przypadku Tomcat 6 oprócz powyższego musieliśmy również wykonać następujące czynności:

W server.xmlzłączu dodaj:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Źródło: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

— yoliho
źródło