我有一台帶有 Tomcat 7.0.59 和 Java 8u31 的 Windows 2008 伺服器,我試圖確保禁用 SSLv3。查看 Java 的更改日誌,應該不再支援 SSL3,並且 Java 控制面板甚至沒有在高級安全設定選項中啟用它的複選框。儘管如此,我還是sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"在 server.xml 中加入了 HTTP 連接器。執行 POODLE 漏洞掃描仍然顯示能夠透過 SSL3 連線。
有什麼想法可以在其他地方查看或使用工具來幫助確定此盒子上啟用/支援 SSL3 的內容嗎?
以下是完整的連接器配置供參考:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
此伺服器是在 VMWare 上執行的虛擬機,僅用於 CAS(JA-SIG 的單一登入實作)。系統上安裝的其他程式:
- EMC網路工作者
- Sophos 防毒/自動更新/遠端管理系統
- 烏龜SVN