使用SSL配置保护JBoss 7免受野兽攻击

Question

结合使用SSLv3.0/TLSv1.0和某些加密技术（CBC块 密码）可能允许攻击者预测后续SSL的所谓初始化向量数据包。使用这些信息，攻击者可以访问其他用户的安全会话。这种名为BEAST（针对SSL/TLS的浏览器漏洞攻击）的攻击针对用户的浏览器，而不是针对Web服务器。不过，也可以在服务器端采取对策以防止成功的攻击。

此问题的完整解决方案是在使用SSLv3.0/TLSv1.0时，禁用或优先支持易受攻击的加密密码（CBC分组密码）的 。通常，这可以通过在密码协商过程中优先考虑RC4密码来实现。

对于支持的Apache Web服务器SSLv3.0/TLSv1.0这可以通过添加 以下配置来配置：

SSLProtocol All –SSlv2 
SSLHonorCipherOrder On 
SSLCipherSuite RC4-SHA:HIGH:!ADH 

对于支持SSLv3.1/TLSv1.1和更高的Apache Web服务器，建议使用以下配置：

SSLProtocol All –SSlv2 
SSLHonorCipherOrder On 
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM 

据我所知，JBoss的7是基于Apache版本支持SSLv3.1/TLSv1.1（也许是我错了），所以第二种选择可以应用于JBoss 7.

我的问题是：哪里/我该如何配置它？

Answer 1

不要与野兽攻击偏执。根据this甲骨文解决了这个问题，它不直接与JBoss相关，它是一个JVM问题。如上所述here它很难在现实世界中应用野兽攻击。只要确保你的JVM和JBoss是最新的。如果您仍然在脑海中质疑运行JBoss后面的逆向代理（如apache或nginx）的最佳做法。