Разъем Tomcat APR и POODLE

У меня есть пара производственных серверов с Tomcat 7.0 с коннектором APR+SSL, и из-за недавней атаки POODLE меня попросили полностью отключить SSLv3 на некоторых из этих серверов. Я копаюсь в документации по Tomcat Connectors и согласно ей , установка SSLProtocol на TLSv1 (вместо all должна быть достаточной для отключения SSLv3 и принудительного применения TLSv1.

Проблема в том, что TLSv1 вроде бы включает TLS, но не заставляет сервер отказываться от SSLv3. Я протестировал это с помощью openssl s_client -connect -ssl3 и убедился, что старые соединения SSLv3 все еще могут быть приняты, поэтому мне было интересно, является ли это ошибкой в ​​​​Tomcat или есть что-то еще, что мне нужно полностью отключить SSLv3.

ОБНОВЛЕНИЕ: на данный момент я отключил APR и вернулся к использованию коннектора NIO с sslProtocol="TLS", и это работает нормально. Проблема, по-видимому, конкретно затрагивает APR. Для справки, это моя новая конфигурация коннектора:

<Connector port="443" 
  protocol="org.apache.coyote.http11.Http11NioProtocol" 
  SSLEnabled="true"
  maxThreads="500" 
  scheme="https" 
  secure="true"
  clientAuth="false"
  keystoreFile="/etc/keys/***.ks"
  keystorePass="****"
  sslProtocol = "TLS"
  sslEnabledProtocols="TLSv1.1,TLSv1.2"
/>

tomcat apr poodle-attack
person Mike Laren    schedule 18.10.2014    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Похоже, что возможность полного отключения SSL при использовании коннектора APR с TLS все еще находится в стадии разработки. Перейдите по этой ссылке для получения дополнительной информации: https://issues.apache.org/bugzilla/show_bug.cgi?id=53952#c30, особенно Комментарий №37.

Хорошая новость заключается в том, что это будет исправлено в следующем выпуске Tomcat и Tomcat Native. Смотрите комментарий №39:

Fixed in tcnative-trunk in r1632593 and tcnative-1.1.x in r1632595. 
Will be in tcnative 1.1.32.

и Комментарий № 40:

Fixed in Tomcat-trunk in r1632604. Will be in Tomcat 8.0.15.
Fixed in Tomcat 7 in r1632606. Will be in Tomcat 7.0.57.
person Community    schedule 18.10.2014
comment
Есть ли дата выхода tcnative 1.1.32? В прошлый раз (Heartbleed) Apache потребовалось почти две недели, чтобы выпустить версию с исправленной версией OpenSSL... - person Mike Laren; 18.10.2014
comment
На этот раз все должно пойти быстрее. - person Christopher Schultz; 19.10.2014
comment
Если у вас есть возможность пересобрать OpenSSL, вы можете перекомпилировать с набором SSL_OP_NO_SSLv3, и библиотека OpenSSL скомпилируется без поддержки этого протокола. Мне неизвестна опция времени выполнения (например, переменная среды), которая могла бы отключить SSLv3 в OpenSSL. - person Christopher Schultz; 19.10.2014