Как справиться с уязвимостями POODLE в веб-сервисе, запущенном на tomcat 6.0
У меня есть веб-сервис, который работает на Tomcat 6.0, Java 7. Соединитель использует конфигурацию JSSE. Ниже показано, как выглядит коннектор в файле server.xml с некоторыми изменениями:
<Connector port="a numeric port number" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" SSLEnabled="true" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
URIEncoding="UTF-8" keystorePass="aStringValue"
keystoreFile="c:\crt\aFile.jks" keyAlias="anAlias"
keyStoreType="JKS" />
У меня возникли проблемы с тем, чтобы заставить SSLProtocol работать так, чтобы отключить уязвимый SSLv3 для POODLE, я также попытался использовать его как " TLS " и отдельно
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
так же как
sslEnabledProtocols="TLSv1.2+TLSv1.1+TLSv1"
после SSLProtocol, но ни один из них, похоже, не сработал. И да, я не забудьте перезапустить Tomcat после изменения server.xml. Кто-нибудь может определить, что мне здесь не хватает? Вся помощь высоко ценится.
1 ответ
Решение
Согласно этому ответу на Serverfault, одно или оба из следующих действий должны помочь:
sslProtocols = "TLSv1,TLSv1.1,TLSv1.2"
(обратите внимание на нижний регистр 'ssl')
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"