Le he dado a mi sitio web para las pruebas. Después de las pruebas, me enviaron un informe de prueba con detalles de que el sitio tiene un problema de seguridad "SSLv3 POODLE information information", y SSLv3 debe estar desactivado para evitar esto. Este es un problema que han reportado: -
"Se determinó que el servidor remoto es compatible con SSLv3 con al menos un conjunto de cifrado CBC, lo que indica que este servidor es vulnerable. Parece que el servidor admite TLSv1 o más reciente. Sin embargo, el mecanismo de respaldo SCSV no es compatible, permitiendo Las conexiones se "revertirán" a SSLv3 "
SSL Version : SSLv3 High Strength Ciphers (>= 112-bit key) EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 DHE-RSA-AES128-SHA Kx=DH Au=RSA Enc=AES-CBC(128) Mac=SHA1
Leí en algún lugar del sitio para verificar si SSLv3 está deshabilitado usando
openssl s_client -connect example.com:443 -ssl3
Intenté con el mismo comando pero siempre obtengo:
[...]SSL routines:SSL3_READ_BYTES:ssl alert handshake failure
Esto debería significar que SSLv3 está deshabilitado, ¿correcto? Si esto es así, entonces no deberían haber informado de este problema.
¿Cómo se puede replicar este problema y cómo puedo desactivar SSLv3 (Apache Tomcat) cuando se solicita?
Cualquier ayuda / guía sería apreciada.