ฉันจะปิดการใช้งาน SSLv3 ใน Tomcat ได้อย่างไร?

8

โปรดระบุการแก้ไขสำหรับฉันจะแก้ไขช่องโหว่ SSLv3 POODLE ได้อย่างไร (CVE-2014-3566) สำหรับ Tomcat

ฉันได้ลองลิงค์ด้านล่างนี้แล้ว แต่ก็ไม่ได้ช่วยอะไร: คลังเก็บรายชื่อผู้รับจดหมาย Tomcat-users

security ssl tomcat7

1

โปรดทราบว่าคำตอบที่แท้จริงที่นี่จะขึ้นอยู่กับรุ่นของ Tomcat: Tomcat 6 และ Tomcat 7 มีคำสั่งการกำหนดค่าที่แตกต่างกัน และ Tomcat 6 ได้เพิ่มคำสั่ง SSL เฉพาะบางอย่างรอบ ๆ 6.0.32 คำสั่งการกำหนดค่าจะขึ้นอยู่กับว่าคุณใช้ตัวเชื่อมต่อ JSSE ข้อ APR / เนทีฟ การสนับสนุน TLS ที่ระบุในพารามิเตอร์จะขึ้นอยู่กับเวอร์ชัน Java ของคุณ

— Stefan Lasiewski

ดูเพิ่มเติมที่ ServerFault: serverfault.com/questions/637649/…

— Stefan Lasiewski

7

เพิ่มสตริงด้านล่างเพื่อเชื่อมต่อ server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

แล้วลบ

sslProtocols="TLS"

ตรวจสอบ

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— คอนเนอร์ Relleen
แหล่งที่มา

สิ่งนี้ใช้ไม่ได้กับ Tomcat6

— Stefan Lasiewski

เหล่านี้คือคำแนะนำของ Tomcat 7 สำหรับ 6 ไปที่หน้านี้และค้นหา "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlหรือดูคำตอบของ Marco Polo ด้านล่าง

— GlenPeterson

1

อืมที่ Tomcat 6 doc กล่าวว่าจะสนับสนุนและมีการกล่าวถึงในหน้าจากการที่sslEnabledProtocols sslProtocolsนั่นไม่ถูกต้องในเอกสาร Tomcat หรือ JVM ขึ้นอยู่กับมันหรือไม่?

— แบรดลีย์

@Bradley Tomcat 6 เปลี่ยนคำสั่งเหล่านี้ที่ใดที่หนึ่งหลังจาก Tomcat 6.0.36 ดูคำตอบของเราเกี่ยวกับ ServerFault ที่serverfault.com/a/637666/36178

— Stefan Lasiewski

2

การใช้

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

ไม่ได้ผลสำหรับเรา เราต้องใช้

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

และจากไปsslEnabledProtocolsโดยสิ้นเชิง

— มาร์โคโปโล
แหล่งที่มา

Tomcat รุ่นใด

— GlenPeterson

ผ่านการทดสอบและยืนยันใน Tomcat 6

— RobinCominotto

นั่นคือการพิมพ์ผิดหรือเปล่า? คุณหมายถึงsslProtocol(เอกพจน์) แทนที่จะเป็นsslProtocols(พหูพจน์) ใช่ไหม เอกสาร Tomcat พูดsslProtocolsslProtocolsไม่ได้

— Stefan Lasiewski

sslProtocolsทำงานได้ดีสำหรับฉันเช่นเดียวกับ Tomcat 6 ฉันคิดว่ามันแปลกที่เอกสารระบุเฉพาะsslProtocol(ไม่มี)

— Stefan Lasiewski

2

ทุกเบราว์เซอร์ที่ทันสมัยมากขึ้นของการทำงานของโน้ตที่มีอย่างน้อยล TLS1 ไม่มีโปรโตคอล SSL ที่ปลอดภัยอีกต่อไปซึ่งหมายความว่าจะไม่มีการเข้าถึง IE6 ในเว็บไซต์ที่ปลอดภัยอีกต่อไป

ทดสอบเซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่นี้ด้วย nmapในไม่กี่วินาที:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

หาก ssl-enum-ciphers แสดงส่วน "SSLv3:" หรือส่วน SSL อื่น ๆ เซิร์ฟเวอร์ของคุณจะมีช่องโหว่

ในการแก้ไขช่องโหว่นี้บนเว็บเซิร์ฟเวอร์ Tomcat 7 ในserver.xmlตัวเชื่อมต่อให้ลบ

sslProtocols="TLS"

(หรือsslProtocol="SSL"คล้ายกัน) และแทนที่ด้วย:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

จากนั้นรีสตาร์ท tomcat และทดสอบอีกครั้งเพื่อตรวจสอบว่า SSL ไม่ได้รับการยอมรับอีกต่อไป ขอบคุณ Connor Relleen สำหรับsslEnabledProtocolsสตริงที่ถูกต้อง

— GlenPeterson
แหล่งที่มา

0

สำหรับ Tomcat 6 นอกเหนือจากข้างต้นเรายังต้องทำสิ่งต่อไปนี้:

ในserver.xmlตัวเชื่อมต่อเพิ่ม:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

ที่มา: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

— yoliho
แหล่งที่มา