Изключете SSLv3 на JBoss AS 7.1.1

Имам Spring MVC App, работещ на JBoss AS 7.1.1. Трябва да изключа SSLv3, за да се предпазя от уязвимостта на Poodle. Документацията на JBoss на https://access.redhat.com/solutions/1232233 предполага, че трябва да уверете се, че SSLv3 не е посочен в атрибутите на SSL протокола.

Опитах това, но все още мога да се свържа с уебсайта си, след като активирах SSL само в опциите на Internet Explorer, показани по-долу. По-долу е моята конфигурация standalone.xml:

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1"/>
</connector>

Може ли някой да предложи какво пропускам тук?

въведете описание на изображението тук


ssl jboss jboss7.x sslv3 poodle-attack
person Abhi Rampal    schedule 20.07.2015    source източник
comment
Помислете за актуализиране на въпроса си със съответните раздели от вашата конфигурация и грешката, която виждате. Освен това предполагам, че сте опитали това с Използване на TLS 1.0, Използване на TLS 1.1 и Използване на TLS 1.2, активирани в IE и с деактивирано Използване на SSL 3.0. Вярно ли е?   -  person Anand Bhat    schedule 20.07.2015
comment
Актуализирах въпроса с неправилната конфигурация, която използвах. И никога не съм виждал грешка - трябваше да деактивирам SSLv3, но не успях. Сега успешно поправих това, моля, вижте отговора по-долу.   -  person Abhi Rampal    schedule 22.07.2015

Отговори (1)


arrow_upward
0
arrow_downward

Най-накрая измислих начин да го поправя. Ако промените „протокол“ на „протоколи“ в гореспоменатата конфигурация и се уверите, че sslv3 не е в списъка с протоколи, това деактивира SSLv3.

Обърнете внимание на атрибута протоколи в конфигурацията по-долу

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1,TLSv1.1,TLSv1.2"/>
</connector>

След извършване на тази промяна, ако отворите IE и деактивирате всички други протоколи с изключение на SSL 3.0 - и след това опитате да получите достъп до уеб страницата, не трябва да можете да видите уеб страницата.

Повече подробности можете да намерите тук: http://abhirampal.com/2015/07/23/disable-ssl-v3-on-jboss-as-7-1-1/

person Abhi Rampal    schedule 22.07.2015