Я унаследовал небольшое безопасное веб-приложение, которое работает на одном веб-сервере Tomcat 6 на машине с Amazon Linux. Мне нужно отключить резервный вариант SSLv3, но я просто не могу найти, где находится конфигурация HTTPS (например, путь к файлу pem и т. Д.)
Файлы конфигурации на /usr/share/tomcat6/conf/server.xml и /etc/tomcat6/server.xml (которые оба идентичны) имеют следующие настройки (которые выглядят как настройки по умолчанию):
<Service name="Catalina">
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
<Engine name="Catalina" defaultHost="localhost">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="/var/www/" debug="1" reloadable="true" override="true" allowLinking="true" />
<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" />
</Host>
</Engine>
</Service>
Насколько я понимаю, здесь должна быть дополнительная конфигурация с подробной информацией о сертификате SSL и т. Д. Есть ли еще где-то, что можно настроить? Если нет, то почему сервер успешно обрабатывает HTTPS-запросы?
В вашем случае наличие коннектора AJP в вашем server.xml является хорошим показателем того, что веб-сервер, такой как Apache с mod_ajp или mod_proxy_ajp, используется в качестве фронта, например. чтобы разгрузить обслуживание статического контента и отключить SSL.
Отключение SSLv3 зависит от фактического используемого веб-сервера, в Apache некоторые предложения можно найти на https://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache