Как отключить SSLv3 в Tomcat?

8

Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.

Я попробовал следующую ссылку ниже, однако это не помогает: архивы рассылки tomcat-users

security ssl tomcat7 Коннор Реллин
источник
1
Обратите внимание, что реальный ответ здесь будет зависеть от версии Tomcat: Tomcat 6 и Tomcat 7 имеют разные директивы конфигурации; и Tomcat 6 добавил некоторые конкретные директивы SSL где-то около 6.0.32. Директивы конфигурации зависят от того, используете ли вы JSSE, стихи APR / родные соединители. Поддержка TLS, указанная в параметрах, будет зависеть от вашей версии Java.
Стефан Ласевский
Также см. ServerFault: serverfault.com/questions/637649/…
Стефан Ласевский,

Ответы:

7

Добавьте приведенную ниже строку в файл server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

а затем удалить 

sslProtocols="TLS"

проверить

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Коннор Реллин
источник
Это не работает для нас с Tomcat6.
Стефан Ласевский,
Это инструкции Tomcat 7. Для 6, перейдите на эту страницу и найдите «TLS»: tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html или посмотрите ответ Марко Поло ниже.
ГленПетерсон
1
Хм, этот документ Tomcat 6 говорит, что он поддерживает, sslEnabledProtocolsи на этой странице нет упоминаний sslProtocols. Это неточность в документах Tomcat или это зависит от JVM?
Брэдли
@Bradley Tomcat 6 изменил эти директивы где-то после Tomcat 6.0.36. Смотрите наш ответ на ServerFault на serverfault.com/a/637666/36178
Стефан Ласевский
2

С помощью

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

не работает для нас. Мы должны были использовать

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

и sslEnabledProtocolsсовсем не учел.

Марко Поло
источник
Какая версия Tomcat?
ГленПетерсон
Протестировано и подтверждено на
Tomcat
Это опечатка? Вы имели в виду sslProtocol(единственное) вместо sslProtocols(множественное число)? Документы Tomcat говорятsslProtocol , нет sslProtocols.
Стефан Ласевский
Ну, sslProtocolsу меня работает и на Tomcat 6. Мне кажется странным, что в документации упоминаются только sslProtocol(нет).
Стефан Ласевский
2

Все более современные браузеры Note работают как минимум с TLS1 . Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.

Протестируйте свой сервер на эту уязвимость с помощью nmap за несколько секунд:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Если ssl-enum-ciphers перечисляет раздел «SSLv3:» или любые другие разделы SSL, ваш сервер уязвим.

Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xmlсоединителе удалите

sslProtocols="TLS"

(или sslProtocol="SSL"аналогичный) и замените его следующим:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильную sslEnabledProtocolsстроку.

GlenPeterson
источник