Wie deaktiviere ich SSLv3 in Tomcat?

8

Bitte geben Sie das Update für Wie kann ich die SSLv3 POODLE-Sicherheitsanfälligkeit patchen / umgehen (CVE-2014-3566)? für Tomcat.

Ich habe versucht, dem folgenden Link zu folgen, aber es hilft nicht: Tomcat-Benutzer-Mailinglisten-Archive

security ssl tomcat7 Connor Relleen
quelle
1
Beachten Sie, dass die tatsächliche Antwort hier von der Version von Tomcat abhängt: Tomcat 6 und Tomcat 7 haben unterschiedliche Konfigurationsanweisungen. und Tomcat 6 fügte irgendwo um 6.0.32 einige spezifische SSL-Anweisungen hinzu. Die Konfigurationsanweisungen hängen davon ab, ob Sie JSSE-Verse-APR / Native-Konnektoren verwenden. Die in den Parametern angegebene Unterstützung von TLS hängt von Ihrer Java-Version ab.
Stefan Lasiewski
Siehe auch ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Antworten:

7

Fügen Sie die folgende Zeichenfolge zum server.xml-Connecter hinzu

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

und dann entfernen 

sslProtocols="TLS"

prüfen Auf

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
quelle
Dies funktioniert bei uns mit Tomcat6 nicht.
Stefan Lasiewski
Dies sind Anweisungen für Tomcat 7. Gehen Sie für 6 auf diese Seite und suchen Sie nach "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html oder lesen Sie die Antwort von Marco Polo unten.
GlenPeterson
1
Hmm, das Tomcat 6-Dokument sagt, dass es unterstützt sslEnabledProtocolsund es gibt keine Erwähnung auf dieser Seite von sslProtocols. Ist das eine Ungenauigkeit in den Tomcat-Dokumenten oder ist es JVM-abhängig?
Bradley
@Bradley Tomcat 6 hat diese Anweisungen irgendwo nach Tomcat 6.0.36 geändert. Siehe unsere Antwort auf ServerFault unter serverfault.com/a/637666/36178
Stefan Lasiewski
2

Verwenden von

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

hat bei uns nicht funktioniert. Wir mussten verwenden

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

und ließ das sslEnabledProtocolsinsgesamt weg.

Marco Polo
quelle
Welche Version von Tomcat?
GlenPeterson
Getestet und bestätigt auf Tomcat 6.
RobinCominotto
Ist das ein Tippfehler? Meinten Sie sslProtocol(Singular) statt sslProtocols(Plural)? Die Tomcat-Dokumente sagensslProtocol nicht sslProtocols.
Stefan Lasiewski
Nun, sslProtocolsfür mich funktioniert auch auf Tomcat 6. Ich finde es seltsam , dass die Dokumentation nur erwähnt sslProtocol(keine s).
Stefan Lasiewski
2

Alle moderneren Browser funktionieren mit mindestens TLS1 . Es gibt keine sicheren SSL-Protokolle mehr, dh kein IE6-Zugriff mehr auf sichere Websites.

Testen Sie Ihren Server in wenigen Sekunden mit nmap auf diese Sicherheitsanfälligkeit :

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Wenn ssl-enum-ciphers einen Abschnitt "SSLv3:" oder andere SSL-Abschnitte auflistet, ist Ihr Server anfällig.

server.xmlEntfernen Sie diese Option, um diese Sicherheitsanfälligkeit auf einem Tomcat 7-Webserver im Connector zu beheben

sslProtocols="TLS"

(oder sslProtocol="SSL"ähnlich) und ersetzen Sie es durch:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Starten Sie dann tomcat neu und testen Sie erneut, um sicherzustellen, dass SSL nicht mehr akzeptiert wird. Vielen Dank an Connor Relleen für die richtige sslEnabledProtocolsSaite.

GlenPeterson
quelle