Да, я знаю, что это вообще плохая идея, но у нас есть краткосрочная потребность в этом.
Следуя этому: https://docs.oracle.com/middleware/1221/wls/SECMG/ssl_version.htm#SECMG637
Мы установили
-Dweblogic.security.SSL.minimumProtocolVersion=SSLv3 (originally set to TLSv1.2)
-Dweblogic.security.SSL.protocolVersion=ALL
(второй не нужен, но тоже должен быть безвредным)
Это не сработало. Согласно этому: https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#enable-sslv3
JDK8 не поддерживает SSLv3 из коробки, но может быть включен:
Если SSLv3 абсолютно необходим, протокол можно повторно активировать на уровне JRE, удалив «SSLv3» из свойства jdk.tls.disabledAlgorithms в файле java.security или динамически установив это свойство Security перед инициализацией JSSE.
Чтобы включить протокол SSLv3 на уровне развертывания, после выполнения вышеуказанных шагов отредактируйте файл deployment.properties и добавьте следующее:
развертывание.security.SSLv3 = true
Мы внесли первое из этих изменений, но не ясно, что означает «включить ... на уровне развертывания» для Weblogic, и мы не можем найти файл deployment.properties.
Нужно ли нам делать этот шаг? И если да, то где находится файл deployment.properties (или аналог) для weblogic?
В качестве альтернативы, успешно ли кто-нибудь повторно включил поддержку SSLv3 в Weblogic 12 и может сказать нам, что нужно изменить?
уэ
Отвечая на свой вопрос, поскольку мы только что провели несколько тестов:
Нужно ли нам делать этот шаг?
Нет. Достаточно изменений в аргументах запуска и файлах java.security.
SSLv3 снова работает - снова работает программатор ServerFault для картонных вырезок