web-dev-qa-db-fra.com

Comment désactiver SSLv3 dans tomcat?

Veuillez fournir le correctif pour Comment puis-je corriger/résoudre la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.

J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion Tomcat-users

8
Connor Relleen

Ajoutez la chaîne ci-dessous au serveur server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

puis retirez

sslProtocols="TLS"

vérifier

http://poodleed.com/
https://www.ssllabs.com/ssltest/

7
Connor Relleen

Tous les navigateurs de note plus modernes fonctionnent avec au moins TLS1 . Il n’existe plus de protocoles sécurisés SSL, ce qui signifie qu’il n’ya plus d’accès IE6 à des sites Web sécurisés.

Testez votre vulnérabilité avec nmap sur votre serveur dans quelques secondes:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Si ssl-enum-ciphers répertorie une section "SSLv3:" ou toute autre section SSL, votre serveur est vulnérable.

Pour corriger cette vulnérabilité sur un serveur Web Tomcat 7, dans le connecteur server.xml, supprimez

sslProtocols="TLS"

(ou sslProtocol="SSL" ou similaire) et remplacez-le par:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Puis redémarrez Tomcat et testez à nouveau pour vérifier que SSL n'est plus accepté. Merci à Connor Relleen pour la chaîne correcte sslEnabledProtocolsname__.

2
GlenPeterson

En utilisant

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

n'a pas fonctionné pour nous. Nous avons dû utiliser

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

et omis le sslEnabledProtocols tout à fait.

2
Marco Polo

Pour Tomcat 6, en plus de ce qui précède, nous devions également procéder comme suit:

Dans le connecteur server.xml, ajoutez:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Source: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-Tomcat-6-fix

0
yoliho