У меня есть Apache Httpd, работающий в качестве моего RPS перед некоторыми серверами Weblogic и Coherence. У меня настроен rps для ssl и отклоняет запросы SSLv3 и SSLv2. Поэтому, когда я перешел на конкретный URL-адрес (виртуальный IP-адрес), на котором размещены несколько серверов, я в порядке.
У меня есть сканер уязвимостей, который сообщает, что IP-адрес сервера (отличный от URL-адреса сайта) позволяет использовать SSLv3 и запросы SSLv2. Но при сканировании VIP для сайта он говорит, что я в порядке, потому что Apache настроен.
Я думаю по этому поводу настроить и Apache, и Weblogic для SSL. Было бы это хорошей идеей? или я более параноик, чем должен быть?
Предложения?
Вы можете настроить weblogic, чтобы использовать только TLS и разрывать соединения SSLv3 / 2. Проверить это сообщение "Weblogic снижает уязвимость POODLE после обновления и по-прежнему использует шифры CBC".
Он предлагает обновить java до 7u75 или использовать -Dweblogic.security.SSL.protocolVersion = Проверьте эту страницу на наличие веб-логики SSL, вы найдете ее полезной
http://docs.oracle.com/cd/E23943_01/web.1111/e13707/ssl.htm#SECMG499