Làm cách nào để tắt SSLv3 trong tomcat?

8

Vui lòng cung cấp bản sửa lỗi cho Làm thế nào để tôi vá / khắc phục lỗ hổng SSLv3 POODLE (CVE-2014-3566)? cho Tomcat.

Tôi đã thử theo liên kết dưới đây, tuy nhiên nó không giúp ích gì: lưu trữ danh sách gửi thư của người dùng tomcat

security ssl tomcat7

— Connor Relleen
nguồn

1

Lưu ý rằng câu trả lời thực sự ở đây sẽ phụ thuộc vào phiên bản Tomcat: Tomcat 6 & Tomcat 7 có các chỉ thị cấu hình khác nhau; và Tomcat 6 đã thêm một số chỉ thị SSL cụ thể vào khoảng 6.0.32. Các chỉ thị cấu hình phụ thuộc vào việc bạn có đang sử dụng các đầu nối APR / Native của JSSE không. Sự hỗ trợ của TLS được chỉ định trong các tham số sẽ phụ thuộc vào phiên bản Java của bạn.

— Stefan Lasiewski

Đồng thời xem ServerFault: serverfault.com/questions/637649/ từ

— Stefan Lasiewski

7

Thêm chuỗi bên dưới vào trình kết nối server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

và sau đó loại bỏ

sslProtocols="TLS"

kiểm tra

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— Connor Relleen
nguồn

Điều này không hiệu quả với chúng tôi với Tomcat6.

— Stefan Lasiewski

Đây là 7 hướng dẫn của Tomcat. Đối với 6, hãy truy cập trang này và tìm kiếm "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html hoặc xem câu trả lời của Marco Polo bên dưới.

— GlenPeterson

1

Hmm, tài liệu Tomcat 6 nói rằng nó hỗ trợ sslEnabledProtocolsvà không có đề cập nào trên trang đó sslProtocols. Đó có phải là sự không chính xác trong các tài liệu Tomcat hay nó phụ thuộc vào JVM?

— Bradley

@Bradley Tomcat 6 đã thay đổi các chỉ thị này ở đâu đó sau Tomcat 6.0.36. Xem câu trả lời của chúng tôi trên ServerFault tại serverfault.com/a/637666/36178

— Stefan Lasiewski

2

Sử dụng

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

đã không làm việc cho chúng tôi. Chúng tôi đã phải sử dụng

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

và bỏ đi sslEnabledProtocolshoàn toàn.

— Áo polo
nguồn

Phiên bản nào của Tomcat?

— GlenPeterson

Đã thử nghiệm và xác nhận trên tomcat 6.

— RobinCominotto

Đó có phải là một lỗi đánh máy? Ý của bạn là sslProtocol(số ít) thay vì sslProtocols(số nhiều)? Các tài liệu Tomcat nóisslProtocol , không sslProtocols.

— Stefan Lasiewski

Vâng, cũng sslProtocolshoạt động với tôi trên Tomcat 6. Tôi thấy lạ là tài liệu chỉ đề cập sslProtocol(không có).

— Stefan Lasiewski

2

Tất cả các trình duyệt ghi chú hiện đại hơn đều hoạt động với ít nhất TLS1 . Không còn giao thức SSL an toàn nữa, điều đó có nghĩa là không còn quyền truy cập IE6 vào các trang web an toàn.

Kiểm tra máy chủ của bạn để tìm lỗ hổng này với nmap trong vài giây:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Nếu ssl-enum-ciphers liệt kê phần "SSLv3:" hoặc bất kỳ phần SSL nào khác, máy chủ của bạn sẽ dễ bị tấn công.

Để vá lỗ hổng này trên máy chủ web Tomcat 7, trong trình server.xmlkết nối, hãy xóa

sslProtocols="TLS"

(hoặc sslProtocol="SSL"tương tự) và thay thế bằng:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Sau đó khởi động lại tomcat và kiểm tra lại để xác minh rằng SSL không còn được chấp nhận. Cảm ơn Connor Relleen cho sslEnabledProtocolschuỗi chính xác .

— GlenPeterson
nguồn

0

Đối với Tomcat 6, ngoài những điều trên, chúng tôi cũng phải làm như sau:

Trong server.xmlkết nối, thêm:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Nguồn: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-codes-security-setting-error-tomcat-6-fix

— yoliho
nguồn