Comment désactiver SSLv3 dans tomcat?


8

Veuillez fournir le correctif pour Comment corriger / contourner la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.

J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion tomcat-users


1
Notez que la vraie réponse dépendra de la version de Tomcat: Tomcat 6 et Tomcat 7 ont des directives de configuration différentes; et Tomcat 6 a ajouté des directives SSL spécifiques aux alentours de 6.0.32. Les directives de configuration dépendent de si vous utilisez des connecteurs JSSE vers APR / Native. La prise en charge de TLS spécifiée dans les paramètres dépendra de votre version Java.
Stefan Lasiewski

Réponses:


7

Ajoutez la chaîne ci-dessous au connecteur server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

puis supprimez

sslProtocols="TLS"

vérifier

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/


Cela ne fonctionne pas pour nous avec Tomcat6.
Stefan Lasiewski

Ce sont des instructions Tomcat 7. Pour 6, allez sur cette page et recherchez "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html ou consultez la réponse de Marco Polo ci-dessous.
GlenPeterson

1
Hmm, ce document Tomcat 6 dit qu'il prend en charge sslEnabledProtocolset il n'y a aucune mention sur cette page de sslProtocols. Est-ce une inexactitude dans les documents Tomcat ou est-ce dépendant de la JVM?
Bradley

@Bradley Tomcat 6 a modifié ces directives quelque part après Tomcat 6.0.36. Voir notre réponse sur ServerFault à serverfault.com/a/637666/36178
Stefan Lasiewski

2

En utilisant

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

n'a pas fonctionné pour nous. Nous devions utiliser

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

et laissé de côté le sslEnabledProtocolstout.


Quelle version de Tomcat?
GlenPeterson

Testé et confirmé sur tomcat 6.
RobinCominotto

Est-ce une faute de frappe? Voulez-vous dire sslProtocol(singulier) au lieu de sslProtocols(pluriel)? Les documents de Tomcat disent quesslProtocol non sslProtocols.
Stefan Lasiewski

Eh bien, sslProtocolsça marche aussi pour moi sur Tomcat 6. Je trouve étrange que la documentation ne mentionne que sslProtocol(pas de s).
Stefan Lasiewski

2

Tous les navigateurs de note plus modernes fonctionnent avec au moins TLS1 . Il n'y a plus de protocoles SSL sécurisés, ce qui signifie qu'il n'y a plus d'accès IE6 à des sites Web sécurisés.

Testez votre serveur pour cette vulnérabilité avec nmap en quelques secondes:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Si ssl-enum-ciphers répertorie une section "SSLv3:" ou toute autre section SSL, votre serveur est vulnérable.

Pour corriger cette vulnérabilité sur un serveur Web Tomcat 7, dans le server.xmlconnecteur, supprimez

sslProtocols="TLS"

(ou sslProtocol="SSL"similaire) et remplacez-le par:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Redémarrez ensuite tomcat et testez à nouveau pour vérifier que SSL n'est plus accepté. Merci à Connor Relleen pour la sslEnabledProtocolschaîne correcte .


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.