Comment désactiver SSLv3 dans tomcat?

8

Veuillez fournir le correctif pour Comment corriger / contourner la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.

J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion tomcat-users

security ssl tomcat7 Connor Relleen
la source
1
Notez que la vraie réponse dépendra de la version de Tomcat: Tomcat 6 et Tomcat 7 ont des directives de configuration différentes; et Tomcat 6 a ajouté des directives SSL spécifiques aux alentours de 6.0.32. Les directives de configuration dépendent de si vous utilisez des connecteurs JSSE vers APR / Native. La prise en charge de TLS spécifiée dans les paramètres dépendra de votre version Java.
Stefan Lasiewski
Voir également ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Réponses:

7

Ajoutez la chaîne ci-dessous au connecteur server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

puis supprimez 

sslProtocols="TLS"

vérifier

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
la source
Cela ne fonctionne pas pour nous avec Tomcat6.
Stefan Lasiewski
Ce sont des instructions Tomcat 7. Pour 6, allez sur cette page et recherchez "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html ou consultez la réponse de Marco Polo ci-dessous.
GlenPeterson
1
Hmm, ce document Tomcat 6 dit qu'il prend en charge sslEnabledProtocolset il n'y a aucune mention sur cette page de sslProtocols. Est-ce une inexactitude dans les documents Tomcat ou est-ce dépendant de la JVM?
Bradley
@Bradley Tomcat 6 a modifié ces directives quelque part après Tomcat 6.0.36. Voir notre réponse sur ServerFault à serverfault.com/a/637666/36178
Stefan Lasiewski
2

En utilisant

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

n'a pas fonctionné pour nous. Nous devions utiliser

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

et laissé de côté le sslEnabledProtocolstout.

Marco Polo
la source
Quelle version de Tomcat?
GlenPeterson
Testé et confirmé sur tomcat 6.
RobinCominotto
Est-ce une faute de frappe? Voulez-vous dire sslProtocol(singulier) au lieu de sslProtocols(pluriel)? Les documents de Tomcat disent quesslProtocol non sslProtocols.
Stefan Lasiewski
Eh bien, sslProtocolsça marche aussi pour moi sur Tomcat 6. Je trouve étrange que la documentation ne mentionne que sslProtocol(pas de s).
Stefan Lasiewski
2

Tous les navigateurs de note plus modernes fonctionnent avec au moins TLS1 . Il n'y a plus de protocoles SSL sécurisés, ce qui signifie qu'il n'y a plus d'accès IE6 à des sites Web sécurisés.

Testez votre serveur pour cette vulnérabilité avec nmap en quelques secondes:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Si ssl-enum-ciphers répertorie une section "SSLv3:" ou toute autre section SSL, votre serveur est vulnérable.

Pour corriger cette vulnérabilité sur un serveur Web Tomcat 7, dans le server.xmlconnecteur, supprimez

sslProtocols="TLS"

(ou sslProtocol="SSL"similaire) et remplacez-le par:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Redémarrez ensuite tomcat et testez à nouveau pour vérifier que SSL n'est plus accepté. Merci à Connor Relleen pour la sslEnabledProtocolschaîne correcte .

GlenPeterson
la source