Tengo un servidor Windows 2008 con Tomcat 7.0.59 y Java 8u31 y estoy tratando de asegurarme de que SSLv3 esté deshabilitado. Al observar el registro de cambios de Java, SSL3 ya no debería ser compatible y el Panel de control de Java ni siquiera tiene una casilla de verificación para habilitarlo en las opciones de Configuración de seguridad avanzada. Aún así, lo agregué sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"a mi conector HTTP en server.xml. La ejecución de un análisis de vulnerabilidad de POODLE aún muestra la capacidad de conectarse a través de SSL3.
¿Alguna idea sobre otros lugares donde buscar o herramientas que puedan ayudar a identificar qué habilita/admite SSL3 en este cuadro?
Aquí está la configuración completa del conector como referencia:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
El servidor es una máquina virtual que se ejecuta en VMWare y se utiliza únicamente para CAS (implementación de inicio de sesión único de JA-SIG). Otros programas instalados en el sistema:
- Red de EMC
- Sophos Anti-Virus / Actualización automática / Sistema de gestión remota
- TortugaSVN