结合使用SSLv3.0/TLSv1.0和某些加密技术(CBC块 密码)可能允许攻击者预测后续SSL的所谓初始化向量数据包。使用这些信息,攻击者可以访问其他用户的安全会话。这种名为BEAST(针对SSL/TLS的浏览器漏洞攻击)的攻击针对用户的浏览器,而不是针对Web服务器。不过,也可以在服务器端采取对策以防止成功的攻击。使用SSL配置保护JBoss 7免受野兽攻击
此问题的完整解决方案是在使用SSLv3.0/TLSv1.0时,禁用或优先支持易受攻击的加密密码(CBC分组密码)的 。通常,这可以通过在密码协商过程中优先考虑RC4密码来实现。
对于支持的Apache Web服务器SSLv3.0/TLSv1.0这可以通过添加 以下配置来配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
对于支持SSLv3.1/TLSv1.1和更高的Apache Web服务器,建议使用以下配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
据我所知,JBoss的7是基于Apache版本支持SSLv3.1/TLSv1.1(也许是我错了),所以第二种选择可以应用于JBoss 7.
我的问题是:哪里/我该如何配置它?
我会将你的答案标记为正确的,因为我完全同意它。但我需要一些帮助,告诉我的客户“不要与野兽攻击偏执狂”= P – Tony