因為蘋果ATS的要求, tomcat服務器要求上https+TLS1.2, 前面搞定了https,但是tls一直是1.0, 甚至把跑了一年的服務器重啟了, 不解決問題.
思路如下:
1. 將openJDK升級到1.8, 因為1.8以后的java默認支持tls 1.2, 不然就是1.0
2. tomcat server.xml修改了一下:
<Connector port="443" protocol="HTTP/1.1" keystoreFile="/tomcat/213981844530408/213981844530408.pfx" keystoreType="PKCS12" keystorePass="213981844530408" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />
重啟tomcat
終於支持tls1.2了.
附上:
1. Symantec網站可以查目前的tls支持狀況:
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
2. Mac OS上面可以用命令查ats支持的情況, 命令是nscurl --ats-diagnostics --verbose 接口https地址
你會看到一堆的pass, 表示ATS支持成功.
遺留問題, 發現留下了心血(heartbleed)的漏洞.