我有一对夫妇的运行Tomcat 7.0与APR + SSL连接器的生产服务器和因为最近狮子狗攻击我被要求在一些服务器的完全禁用SSLv3的。我通过Tomcat Connectors文档挖掘,并根据它,设置的SSLProtocol
到TLSv1
(而不是all
应足以禁用SSLv3和执行的TLSv1。Tomcat的APR连接器和贵宾
的问题是,TLSv1
似乎启用TLS,但不使服务器垃圾的SSLv3 。我使用openssl s_client -connect -ssl3
进行了测试,并验证了旧版SSLv3连接仍然可以被接受,所以我想知道这是Tomcat中的错误,还是有其他需要设置为禁用SSLv3的内容。
更新:我现在禁用了APR并恢复为使用带有的NIO连接器和那工作正常。这个问题似乎正在影响APR。作为参考,这是我的新连接器配置:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
maxThreads="500"
scheme="https"
secure="true"
clientAuth="false"
keystoreFile="/etc/keys/***.ks"
keystorePass="****"
sslProtocol = "TLS"
sslEnabledProtocols="TLSv1.1,TLSv1.2"
/>
是否有tcnative 1.1.32的发布日期?最后一次(Heartbleed)花了差不多两周的时间才发布一个固定版本的OpenSSL版本...... – 2014-10-18 03:46:58
这次应该会更快。 – 2014-10-18 20:14:19
如果您有机会重建OpenSSL,您可以使用'SSL_OP_NO_SSLv3'集重新编译,并且OpenSSL库将在不支持该协议的情况下编译。我所知道的没有运行时选项(例如环境变量)可以在OpenSSL中禁用SSLv3。 – 2014-10-18 20:18:14