Controlla SSLv3 in Apache Tomcat localmente e sul server su windows / linux

Question

Controlla SSLv3 in Apache Tomcat localmente e sul server su windows / linux

#1 da (2 voti)

1

Ho dato il mio sito Web per i test, dopo aver effettuato i test mi hanno inviato un rapporto di prova con dettagli che il sito ha un problema di sicurezza "divulgazione di informazioni su SSLv3 POODLE" e SSLv3 deve essere disabilitato per evitare questo. Questo è il problema che hanno segnalato: -

" It determined that the remote server supports SSLv3 with at least one CBC cipher suite, indicating that this server is vulnerable. It appears that TLSv1 or newer is supported on the server. However, the Fallback SCSV mechanism is not supported, allowing connections to be "rolled back" to SSLv3 "
SSL Version : SSLv3 High Strength Ciphers (>= 112-bit key) 
EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 
DHE-RSA-AES128-SHA Kx=DH Au=RSA Enc=AES-CBC(128) Mac=SHA1

Ho letto da qualche parte nel sito per verificare se SSLv3 è disabilitato usando

openssl s_client -connect example.com:443 -ssl3

Ho provato con lo stesso comando ma ottengo sempre:

[...]SSL routines:SSL3_READ_BYTES:ssl alert handshake failure

Questo dovrebbe significare che SSLv3 è disabilitato, corretto? Se è così, allora non avrebbero dovuto segnalare questo problema.

Come può essere replicato questo problema, e come posso disabilitare SSLv3 (Apache Tomcat) come richiesto?

Qualsiasi aiuto / guida sarebbe apprezzato.

openssl tls

posta user3132347 14.01.2015 - 07:22

fonte

1 risposta

Leggi altre domande sui tag openssl tls

Tentativi di connessione persistente da parte di Akamai Technologies Web of Trust: che cos'è la "fiducia dei firmatari"?

score 2 · Answer 1

puoi controllare il tuo ssl-setup con:

SSLLabs (il tuo sito deve essere online)
testssl.sh (cli-tool)
cipherscan (cli-tool)
ssllyze (cli-tool)

dovresti avere una conoscenza di base su come interpretare i risultati anche se

per disabilitare ssl nel tuo tomcat per favore leggi (potrebbero esserci interferenze con la JVM usata):

Disabilitazione di SSLv3 e SSLv2 in Tomcat e JBoss Web

"Quando si utilizza Tomcat con i connettori JSSE, il protocollo SSL da utilizzare può essere configurato tramite $ TOMCAT_HOME / conf / server.xml. L'esempio seguente mostra come viene configurato lo sslProtocol in un connettore https.

Tomcat 5 e 6 (precedenti alla 6.0.38)

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Tomcat 6 (6.0.38 e versioni successive) e 7

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Se vengono specificati gli attributi sslEnabledProtocols o sslProtocols, verranno abilitati solo i protocolli elencati e supportati dall'implementazione SSL. Se non specificato, viene utilizzata l'impostazione predefinita JVM. I valori consentiti possono essere ottenuti dalla documentazione JVM per i valori consentiti per l'algoritmo quando si crea un'istanza SSLContext, ad es. Oracle Java 6 e Oracle Java 7. "