web-dev-qa-db-ja.com

TomcatでSSLv3を無効にするにはどうすればよいですか?

SSLv3 POODLE脆弱性(CVE patch-2014­-3566)にパッチを当てる/回避するにはどうすればよいですか? Tomcatの修正を提供してください。

以下のリンクを試してみましたが、役に立ちません: Tomcat-users mailing list archives

8
Connor Relleen

以下の文字列をserver.xmlコネクタに追加します

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

その後、削除します

sslProtocols="TLS"

確認する

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

7
Connor Relleen

ノートの最新のブラウザはすべて、少なくともTLS1で動作します 。安全なSSLプロトコルはもうありません。つまり、安全なWebサイトへのIE6アクセスはもうありません。

nmapでこの脆弱性についてサーバーをテストします 数秒で:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Ssl-enum-ciphersに「SSLv3:」セクションまたはその他のSSLセクションがリストされている場合、サーバーは脆弱です。

Tomcat 7 Webサーバーでこの脆弱性にパッチを当てるには、server.xmlコネクタで、削除します

sslProtocols="TLS"

(またはsslProtocol="SSL"または同様)で置き換えてください:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

次に、Tomcatを再起動して再度テストし、SSLが受け入れられなくなったことを確認します。正しいsslEnabledProtocols文字列を提供してくれたConnor Relleenに感謝します。

2
GlenPeterson

を使用して

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

私たちにとってはうまくいきませんでした。使用しなければなりませんでした

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

sslEnabledProtocolsを完全に省きました。

2
Marco Polo

Tomcat 6では、上記に加えて、次のことも行う必要がありました。

server.xmlコネクタで、次を追加します。

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

ソース: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-Tomcat-6-fix

0
yoliho