¿Cómo deshabilito SSLv3 en tomcat?

8

Proporcione la solución para ¿Cómo parcheo / soluciono la vulnerabilidad de POODLE SSLv3 (CVE-2014-3566)? para Tomcat

He intentado seguir el siguiente enlace, sin embargo, no ayuda: archivos de la lista de correo de usuarios tomcat

Connor Relleen
fuente
1
Tenga en cuenta que la respuesta real aquí dependerá de la versión de Tomcat: Tomcat 6 y Tomcat 7 tienen diferentes directivas de configuración; y Tomcat 6 agregó algunas directivas SSL específicas en algún lugar alrededor de 6.0.32. Las directivas de configuración dependen de si está utilizando conectores JSSE o APR / Native. El soporte de TLS especificado en los parámetros dependerá de su versión de Java.
Stefan Lasiewski
También vea ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Respuestas:

7

Agregue la siguiente cadena al conector server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

y luego quitar

sslProtocols="TLS"

comprobar en

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
fuente
Esto no está funcionando para nosotros con Tomcat6.
Stefan Lasiewski
Estas son las instrucciones de Tomcat 7. Para 6, vaya a esta página y busque "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html o consulte la respuesta de Marco Polo a continuación.
GlenPeterson
1
Hmm, ese documento de Tomcat 6 dice que es compatible sslEnabledProtocolsy no hay mención en esa página de sslProtocols. ¿Es eso una inexactitud en los documentos de Tomcat o depende de JVM?
Bradley
@Bradley Tomcat 6 cambió estas directivas en algún lugar después de Tomcat 6.0.36. Vea nuestra respuesta en ServerFault en serverfault.com/a/637666/36178
Stefan Lasiewski
2

Utilizando

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

No funcionó para nosotros. Tuvimos que usar

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

y excluido por sslEnabledProtocolscompleto.

Marco Polo
fuente
¿Qué versión de Tomcat?
GlenPeterson
Probado y confirmado en
Tomcat
¿Es eso un error tipográfico? ¿Quiso decir sslProtocol(singular) en lugar de sslProtocols(plural)? Los documentos de Tomcat dicen quesslProtocol no sslProtocols.
Stefan Lasiewski
Bueno, también sslProtocolsfunciona para mí en Tomcat 6. Me resulta extraño que la documentación solo mencione sslProtocol(no s).
Stefan Lasiewski
2

Todos los navegadores de notas más modernos funcionan con al menos TLS1 . Ya no hay protocolos SSL seguros, lo que significa que no hay más acceso IE6 a sitios web seguros.

Pruebe su servidor para esta vulnerabilidad con nmap en unos segundos:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Si ssl-enum-ciphers incluye una sección "SSLv3:" o cualquier otra sección SSL, su servidor es vulnerable.

Para parchear esta vulnerabilidad en un servidor web Tomcat 7, en el server.xmlconector, elimine

sslProtocols="TLS"

(o sslProtocol="SSL"similar) y reemplácelo con:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Luego reinicie tomcat y pruebe nuevamente para verificar que SSL ya no sea aceptado. Gracias a Connor Relleen por la sslEnabledProtocolscadena correcta .

GlenPeterson
fuente