Tomcat的APR连接器和贵宾

Question

我有一对夫妇的运行Tomcat 7.0与APR + SSL连接器的生产服务器和因为最近狮子狗攻击我被要求在一些服务器的完全禁用SSLv3的。我通过Tomcat Connectors文档挖掘，并根据它，设置的SSLProtocol到TLSv1（而不是all应足以禁用SSLv3和执行的TLSv1。

的问题是，TLSv1似乎启用TLS，但不使服务器垃圾的SSLv3 。我使用openssl s_client -connect -ssl3进行了测试，并验证了旧版SSLv3连接仍然可以被接受，所以我想知道这是Tomcat中的错误，还是有其他需要设置为禁用SSLv3的内容。

更新：我现在禁用了APR并恢复为使用带有的NIO连接器和那工作正常。这个问题似乎正在影响APR。作为参考，这是我的新连接器配置：

<Connector port="443" 
    protocol="org.apache.coyote.http11.Http11NioProtocol" 
    SSLEnabled="true" 
    maxThreads="500" 
    scheme="https" 
    secure="true" 
    clientAuth="false" 
    keystoreFile="/etc/keys/***.ks" 
    keystorePass="****" 
    sslProtocol = "TLS" 
    sslEnabledProtocols="TLSv1.1,TLSv1.2" 
/> 

Answer 1

看来，使用与TLS的APR连接器时完全禁用SSL的能力仍处于进展中的工作。查看此链接以获取更多信息：https://issues.apache.org/bugzilla/show_bug.cgi?id=53952#c30，特别是评论＃37。

的好消息是，它会被固定在Tomcat和Tomcat本土的下一个版本。见注释＃39：

Fixed in tcnative-trunk in r1632593 and tcnative-1.1.x in r1632595. 
Will be in tcnative 1.1.32. 

和评论＃40：

Fixed in Tomcat-trunk in r1632604. Will be in Tomcat 8.0.15. 
Fixed in Tomcat 7 in r1632606. Will be in Tomcat 7.0.57.