Dropwizard TLS и SSL: деактивируйте SSLv3

Кто-нибудь знает, как деактивировать SSLv3? Кто-нибудь знает, поддерживает ли DW SSLv3 или как я могу проверить, что поддерживается DW 0.7.1?


java ssl dropwizard sslv3 poodle-attack
person user3280180    schedule 16.10.2014    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Dropwizard использует Jetty для обработки HTTP-соединений, поэтому можно настроить Dropwizard на использование SSLv3 для HTTPS-трафика. Используйте свойствоsupportedProtocols. По умолчанию нет предпочтительного протокола безопасности, поэтому он будет использовать тот, который поддерживает базовый JDK.
В конфигурации dropwizard вам нужно добавить следующее, если вы хотите использовать только соединения TLSv1.2:

server:
  applicationConnectors:
    - type: https
      port: 8443
      ....
      supportedProtocols: TLSv1.2
person zloster    schedule 26.10.2014
comment
Аааа... Я проглядел эту строчку... Спасибо. - person user3280180; 27.10.2014
comment
Не уверен насчет предыдущих версий, но в Dropwizard 0.8.0 его необходимо настроить как массив: supportProtocols: [TLSv1.2], после чего вы должны увидеть следующую дополнительную строку в стандартном выводе: INFO io.dropwizard.jetty.HttpsConnectorFactory: Configured протоколы: [TLSv1.2] - person Andrew Eells; 01.09.2015