У меня есть сервер Windows 2008 с Tomcat 7.0.59 и Java 8u31, и я пытаюсь убедиться, что SSLv3 отключен. Если посмотреть в журнале изменений для Java, SSL3 больше не должен поддерживаться, а на панели управления Java даже нет флажка для его включения в параметрах Advanced Security Settings. Тем не менее, я добавил sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
к моему HTTP-коннектору в server.xml. Сканирование уязвимостей POODLE по-прежнему показывает возможность подключения через SSL3.
Есть ли идеи для других мест или инструментов, которые могут помочь определить, что включает / поддерживает SSL3 на этом устройстве?
Вот полная конфигурация разъема для справки:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
Сервер представляет собой виртуальную машину, работающую на VMWare, и используется только для CAS (реализация единого входа от JA-SIG). Другие программы, установленные в системе: