У меня есть сервер Windows 2008 с Tomcat 7.0.59 и Java 8u31, и я пытаюсь убедиться, что SSLv3 отключен. Если посмотреть на журнал изменений для Java, SSL3 больше не должен поддерживаться, а в панели управления Java даже нет флажка для его включения в параметрах дополнительных параметров безопасности. Тем не менее, я добавил sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"в свой HTTP-коннектор в server.xml. Запуск сканирования уязвимостей POODLE по-прежнему показывает возможность подключения через SSL3.
Есть ли какие-нибудь идеи относительно других мест для поиска или инструментов, которые могли бы помочь определить, что именно включает/поддерживает SSL3 на этом устройстве?
Ниже для справки приведена полная конфигурация разъема:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
Сервер представляет собой виртуальную машину, работающую на VMWare, и используется только для CAS (реализация единого входа от JA-SIG). Другие программы, установленные в системе:
- EMC NetWorker
- Sophos Anti-Virus / Автообновление / Система удаленного управления
- TortoiseSVN