У меня есть пара производственных серверов с Tomcat 7.0 с коннектором APR+SSL, и из-за недавней атаки POODLE меня попросили полностью отключить SSLv3 на некоторых из этих серверов. Я копаюсь в документации по Tomcat Connectors и согласно ей , установка SSLProtocol
на TLSv1
(вместо all
должна быть достаточной для отключения SSLv3 и принудительного применения TLSv1.
Проблема в том, что TLSv1
вроде бы включает TLS, но не заставляет сервер отказываться от SSLv3. Я протестировал это с помощью openssl s_client -connect -ssl3
и убедился, что старые соединения SSLv3 все еще могут быть приняты, поэтому мне было интересно, является ли это ошибкой в Tomcat или есть что-то еще, что мне нужно полностью отключить SSLv3.
ОБНОВЛЕНИЕ: на данный момент я отключил APR и вернулся к использованию коннектора NIO с sslProtocol="TLS"
, и это работает нормально. Проблема, по-видимому, конкретно затрагивает APR. Для справки, это моя новая конфигурация коннектора:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
maxThreads="500"
scheme="https"
secure="true"
clientAuth="false"
keystoreFile="/etc/keys/***.ks"
keystorePass="****"
sslProtocol = "TLS"
sslEnabledProtocols="TLSv1.1,TLSv1.2"
/>