Использование SSLv3.0 / TLSv1.0 в сочетании с определенными методами шифрования (блочные шифры CBC) может позволить злоумышленнику предсказать так называемый вектор инициализации последующих пакетов SSL. Используя эту информацию, злоумышленник может получить доступ к защищенному сеансу другого пользователя. Эта атака, получившая название BEAST (Browser Exploit Against SSL / TLS), нацелена на браузер пользователя, а не на веб-сервер. Тем не менее, можно принять меры и на стороне сервера, чтобы предотвратить успешную атаку.
Полным решением этой проблемы является отключение или снижение приоритета поддержки уязвимых шифров шифрования (блочные шифры CBC) при использовании SSLv3.0 / TLSv1.0. Обычно это может быть достигнуто за счет приоритизации шифров RC4 в процессе согласования шифров.
Для веб-серверов Apache, поддерживающих SSLv3.0 / TLSv1.0, это можно настроить, добавив следующую конфигурацию:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
Для веб-серверов Apache, поддерживающих SSLv3.1 / TLSv1.1 и выше, рекомендуется использовать следующую конфигурацию:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
Насколько мне известно, JBoss 7 основан на версии Apache, которая поддерживает SSLv3.1 / TLSv1.1 (возможно, я ошибаюсь), поэтому вторую альтернативу можно применить к JBoss 7.
У меня вопрос: Где / как мне это настроить?
Я не уверен, можно ли это применить непосредственно к JBOSS, если только вы не хотите использовать Apache как веб-сервер для JBOSS. Пожалуйста, посмотрите следующий запрос функции, чтобы решить эту проблему, и он еще не решен, так как проблема все еще открыта. https://issues.jboss.org/browse/AS7-5501.