Como desabilito o SSLv3 no tomcat?

8

Forneça a correção da vulnerabilidade Como corrigir / solução alternativa da vulnerabilidade SSLv3 POODLE (CVE-2014-3566)? para o Tomcat.

Eu tentei seguir o link abaixo, no entanto, isso não ajuda: arquivos da lista de email do tomcat-users

Connor Relleen
fonte
1
Observe que a resposta real aqui dependerá da versão do Tomcat: o Tomcat 6 e o ​​Tomcat 7 têm diretivas de configuração diferentes; e o Tomcat 6 adicionou algumas diretivas SSL específicas em torno de 6.0.32. As diretivas de configuração dependem se você estiver usando o JSSE nos conectores APR / Native. O suporte ao TLS especificado nos parâmetros dependerá da sua versão Java.
Stefan Lasiewski
Consulte também ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Respostas:

7

Adicione a sequência abaixo ao conector server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

e depois remova

sslProtocols="TLS"

verifique

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
fonte
Isso não está funcionando para nós com o Tomcat6.
27413 Stefan Lasiewski #
Estas são as instruções do Tomcat 7. Para o 6, vá a esta página e procure por "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html ou verifique a resposta de Marco Polo abaixo.
GlenPeterson
1
Hmm, esse documento do Tomcat 6 diz que suporta sslEnabledProtocolse não há menção nessa página de sslProtocols. Isso é uma imprecisão nos documentos do Tomcat ou depende da JVM?
Bradley #
O Bradley Tomcat 6 mudou essas diretivas em algum lugar após o Tomcat 6.0.36. Veja nossa resposta no ServerFault em serverfault.com/a/637666/36178
Stefan Lasiewski
2

Usando

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

não funcionou para nós. Tivemos que usar

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

e deixado de fora por sslEnabledProtocolscompleto.

Marco Polo
fonte
Qual versão do Tomcat?
GlenPeterson
Testado e confirmado no tomcat 6.
RobinCominotto 16/10
Isso é um erro de digitação? Você quis dizer sslProtocol(singular) em vez de sslProtocols(plural)? Os documentos do Tomcat dizem quesslProtocol não sslProtocols.
27413 Stefan Lasiewski
Bem, sslProtocolsfunciona para mim também no Tomcat 6. Acho estranho que a documentação apenas mencione sslProtocol(no s).
Stefan Lasiewski
2

Todos os navegadores mais modernos de nota funcionam com pelo menos TLS1 . Não há mais protocolos SSL seguros, o que significa que não há mais acesso do IE6 a sites seguros.

Teste seu servidor para esta vulnerabilidade com o nmap em alguns segundos:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Se ssl-enum-ciphers listar uma seção "SSLv3:" ou qualquer outra seção SSL, seu servidor estará vulnerável.

Para corrigir esta vulnerabilidade em um servidor da Web Tomcat 7, no server.xmlconector, remova

sslProtocols="TLS"

(ou sslProtocol="SSL"similar) e substitua-o por:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Em seguida, reinicie o tomcat e teste novamente para verificar se o SSL não é mais aceito. Obrigado a Connor Relleen pela sslEnabledProtocolsstring correta .

GlenPeterson
fonte