碼上快樂

相關內容    簡體    繁體

Tomcat禁用SSLv3和RC4算法

本文轉載自   查看原文   2017-07-17 11:00   12783    漏洞修復/ Tomcat

1.禁用SSLv3(SSL 3.0 POODLE攻擊信息泄露漏洞(CVE-2014-3566)【原理掃描】)

編緝$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置處,7.0及之前版本默認應如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"/>

修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"/>

8.5及之后版本默認應如下:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks" type="RSA" /> </SSLHostConfig> </Connector>

修改如下:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" >
    </Connector>

也就是先刪除<SSLHostConfig>標簽及其子標簽,然后再和7.0之前版本一樣追加。

如果不刪除<SSLHostConfig>直接追加,啟動會報錯:conf/server.xml: Error at (92, 25) : Multiple SSLHostConfig elements were provided for the host name [_default_]. Host names must be unique.

應該是說有兩個證書的配置入口,8.5版本之后應該是推薦使用<SSLHostConfig>作為新的證書配置方法。但其實舊的配置方法還是兼容的,所以我們這里直接刪除<SSLHostConfig>,然后再和7.0之前版本一樣追加(下邊的漏洞類似操作)。

嘗試了一下變更為新的對應屬性並沒有成功啟動,如果已經在<SSLHostConfig>中配置其他內容,那只能自己研究一下該怎么寫了。

 

2.禁用RC4(SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】)

編緝$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置處,修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
               ciphers="TLS_ECDHE_RSA_WITAES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>

 

說明:

1.RC4與DES/AES一樣是一種對稱加密算法

2.算法的說明,TLS_RSA_WITH_AES_128_CBC_SHA256:TLS--SSL還是TSL,RSA--所用非對稱加密算法,AES--所用對稱加密算法,128--對稱加密分組長度,CBC--分組加密模式,SHA256--所用完整性驗證算法

 

參考:

http://www.mamicode.com/info-detail-1340430.html

https://www.chinassl.net/?f=faq&a=view&r=605

http://blog.csdn.net/baidu_18607183/article/details/51593586

https://stackoverflow.com/questions/42135892/tomcat-8-5-server-xml-multiple-sslhostconfig-elements-were-provided-for-the-ho


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Weblogic禁用SSLv3和RC4算法教程 WebSphere禁用SSLv3和RC4算法教程 RC4加密算法 RC4加密算法 RC4加密算法 RC4算法的Python實現詳注 流密碼及RC4算法ZZ RC4加密解密算法的簡單實現 RC4加密算法的原理及實現 php使用rc4加密算法
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM