Eu tenho um servidor Windows 2008 com Tomcat 7.0.59 e Java 8u31 e estou tentando garantir que o SSLv3 esteja desabilitado. Olhando para o changelog do Java, o SSL3 não deve mais ser suportado e o Painel de Controle do Java nem sequer tem uma caixa de seleção para habilitá-lo nas opções de Configurações Avançadas de Segurança. Mesmo assim, adicionei sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ao meu conector HTTP em server.xml. A execução de uma verificação de vulnerabilidade POODLE ainda mostra a capacidade de conexão via SSL3.
Alguma idéia de outros lugares para procurar ou ferramentas que possam ajudar a identificar o que está habilitando/suportando SSL3 nesta caixa?
Aqui está a configuração completa do conector para referência:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
O servidor é uma máquina virtual rodando em VMWare e é usado apenas para CAS (implementação de Single Sign-On do JA-SIG). Outros programas instalados no sistema:
- EMC NetWorker
- Sophos Antivírus / AutoUpdate / Sistema de gerenciamento remoto
- TortoiseSVN