私は Tomcat 7.0.59 と Java 8u31 を搭載した Windows 2008 サーバーを使用しており、SSLv3 が無効になっていることを確認しようとしています。Java の変更ログを見ると、SSL3 はサポートされなくなり、Java コントロール パネルの高度なセキュリティ設定オプションには SSL3 を有効にするチェックボックスさえありません。それでも、sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"server.xml に HTTP コネクタを追加しました。POODLE 脆弱性スキャンを実行すると、SSL3 経由で接続できることがまだ表示されます。
このボックスで SSL3 を有効化/サポートしているものを特定するのに役立つ、他に調べる場所やツールについてのアイデアはありますか?
参考までに、完全なコネクタ構成を以下に示します。
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
サーバーは VMWare 上で実行される仮想マシンであり、CAS (JA-SIG のシングル サインオン実装) にのみ使用されます。システムにインストールされているその他のプログラム:
- EMC ネットワーカー
- Sophos アンチウイルス / 自動アップデート / リモート管理システム
- トータスSVN