Verifique SSLv3 en Apache Tomcat localmente, así como en el servidor en windows / linux

Navega tus respuestas
1

Le he dado a mi sitio web para las pruebas. Después de las pruebas, me enviaron un informe de prueba con detalles de que el sitio tiene un problema de seguridad "SSLv3 POODLE information information", y SSLv3 debe estar desactivado para evitar esto. Este es un problema que han reportado: -

  

"Se determinó que el servidor remoto es compatible con SSLv3 con al menos un conjunto de cifrado CBC, lo que indica que este servidor es vulnerable. Parece que el servidor admite TLSv1 o más reciente. Sin embargo, el mecanismo de respaldo SCSV no es compatible, permitiendo Las conexiones se "revertirán" a SSLv3 "

SSL Version : SSLv3 High Strength Ciphers (>= 112-bit key) 
EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 
DHE-RSA-AES128-SHA Kx=DH Au=RSA Enc=AES-CBC(128) Mac=SHA1

Leí en algún lugar del sitio para verificar si SSLv3 está deshabilitado usando 

openssl s_client -connect example.com:443 -ssl3

Intenté con el mismo comando pero siempre obtengo: 

[...]SSL routines:SSL3_READ_BYTES:ssl alert handshake failure

Esto debería significar que SSLv3 está deshabilitado, ¿correcto? Si esto es así, entonces no deberían haber informado de este problema.

¿Cómo se puede replicar este problema y cómo puedo desactivar SSLv3 (Apache Tomcat) cuando se solicita?

Cualquier ayuda / guía sería apreciada.

    
pregunta user3132347 14.01.2015 - 07:22
fuente

1 respuesta

2

puede verificar su configuración ssl con cualquiera de los dos:

aunque deberías tener un conocimiento básico sobre cómo interpretar los resultados

para deshabilitar SSL en su Tomcat, lea (puede haber interferencias en la JVM utilizada):

"Al usar Tomcat con los conectores JSSE, el protocolo SSL que se usará se puede configurar a través de $ TOMCAT_HOME / conf / server.xml. El siguiente ejemplo muestra cómo se configura el protocolo ssl en un conector https.

Tomcat 5 y 6 (antes de 6.0.38) 
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat 6 (6.0.38 y posteriores) y 7 
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Si se especifican los atributos sslEnabledProtocols o sslProtocols, solo se habilitarán los protocolos enumerados y compatibles con la implementación SSL. Si no se especifica, se utiliza el valor predeterminado de JVM. Los valores permitidos se pueden obtener a partir de la documentación de JVM para los valores permitidos para el algoritmo al crear una instancia de SSLContext, por ejemplo. Oracle Java 6 y Oracle Java 7. "

    
respondido por el that guy from over there 14.01.2015 - 22:56
fuente

Lea otras preguntas en las etiquetas

VPN - ¿Certificados de cliente únicos? [duplicar] Intentos de conexión persistentes por Akamai Technologies