Як відключити SSLv3 в tomcat?

8

Будь ласка, надайте виправлення для того, як я виправити / вирішити вразливість SSLv3 POODLE (CVE-2014-3566)? для Tomcat.

Я спробував наступне посилання, однак це не допомагає: архіви списку розсилки tomcat користувачів

security ssl tomcat7

— Коннор Реллін
джерело

1

Зауважте, що реальна відповідь тут залежатиме від версії Tomcat: Tomcat 6 & Tomcat 7 мають різні директиви щодо конфігурації; і Tomcat 6 додали деякі конкретні директиви SSL десь близько 6.0.32. Директиви конфігурації залежать від того, якщо ви використовуєте стихи JSSE-версії APR / Native. Підтримка TLS, зазначена в параметрах, залежатиме від вашої версії Java.

— Стефан Ласєвський

Також дивіться ServerFault: serverfault.com/questions/637649/…

— Стефан Ласєскі

7

Додайте рядок нижче до connecter server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

а потім видаліть

sslProtocols="TLS"

перевірити

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— Коннор Реллін
джерело

Це не працює для нас із Tomcat6.

— Стефан Ласєвський

Це інструкції Tomcat 7. Для 6 перейдіть на цю сторінку та знайдіть "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html або перегляньте відповідь Марко Поло нижче.

— GlenPeterson

1

Хм, що Tomcat 6 doc каже, що це підтримує, sslEnabledProtocolsі на цій сторінці згадки немає sslProtocols. Це неточність у документах Tomcat чи це залежить від JVM?

— Бредлі

@Bradley Tomcat 6 змінив ці директиви десь після Tomcat 6.0.36. Дивіться нашу відповідь на ServerFault на сервері defaultfault.com/a/637666/36178

— Stefan Lasiewski

2

Використання

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

не працювали для нас. Треба було користуватися

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

і sslEnabledProtocolsвзагалі вийшли з ладу .

— Марко Поло
джерело

Яка версія Tomcat?

— GlenPeterson

Випробуваний та підтверджений на tomcat 6.

— RobinCominotto

Це помилка? Ви мали на увазі sslProtocol(однина) замість sslProtocols(множина)? Документи Tomcat кажутьsslProtocol , ні sslProtocols.

— Стефан Ласевський

Що ж, sslProtocolsпрацює для мене і на Tomcat 6. Мені здається дивним, що документація згадує лише sslProtocol(немає).

— Стефан Ласєвський

2

Усі більш сучасні браузери нот працюють із принаймні TLS1 . Більше немає безпечних протоколів SSL, що означає більше доступу IE6 до захищених веб-сайтів.

Перевірте ваш сервер на наявність цієї вразливості за допомогою nmap за кілька секунд:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Якщо ssl-enum-ciphers перелічує розділ "SSLv3:" або будь-який інший розділ SSL, ваш сервер вразливий.

Щоб виправити цю вразливість на веб-сервері Tomcat 7, у server.xmlроз'ємі вийміть

sslProtocols="TLS"

(або sslProtocol="SSL"подібне) та замініть його на:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Потім перезапустіть tomcat і повторіть тест, щоб переконатися, що SSL більше не приймається. Дякуємо Коннору Релліну за правильний sslEnabledProtocolsрядок.

— GlenPeterson
джерело

0

Для Tomcat 6, крім вищезазначеного, ми також повинні були зробити наступне:

У server.xmlроз'ємі додайте:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Джерело: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

— йоліхо
джерело