tomcat 处理 https 漏洞

xinglijun1973

浏览: 54916 次

最近访客更多访客>>

XiaoPY

jstl1point0

u012363178

lubin83

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

诺祺

因为ssl3.0有漏洞，所以尽量使用TLSv1.2。
漏洞危害：
HTTPS安全传输通道不可信。
修复建议：
禁止开启SSL3，除非客户端版本比较低，否则应只开启TLS1.2，其他协议均应关闭。
开启TLS1.2 支持

解决：
tomcat的server.xml ：

引用

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"

注意：jdk7才支持tls1.2，tomcat7.0.56(65?)才默认禁止ssl3.0
附录：参考了 http://blog.csdn.net/jackpk/article/details/47979643
请参考 http://www.freebuf.com/articles/network/62442.html，
免费ssl牢固性测试网站 https://www.ssllabs.com/ssltest/index.html

分享到：

spring 改变占位符属性值 | java反序列化漏洞对策

2017-06-02 10:59
浏览 1850
评论(4)
分类:企业架构
查看更多

4 楼 xinglijun1973 2017-08-15

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
        maxThreads="150" SSLEnabled="true"
        scheme="https" secure="true"
                      clientAuth="false"
        keystoreFile="conf/xx.JKS"
                  keystorePass="xx"
                          sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
ServerCipherSuitesOrder="true">此处有误，最后应是 useServerCipherSuitesOrder="true">

3 楼 xinglijun1973 2017-07-05

xinglijun1973 写道

问题：虽然ciphers中写了很多加密套件，但测试结果只有少数几个加密套件可用？
解答：jdk中默认限制了加密强度。
默认aes强度为128位：请看https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#importlimits，
无限制加密强度政策文件下载（jdk8的）：http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html。
下载后解压到 jre/lib/security/下替换原来的文件即可。

当时，conf/server.xml中配置为：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
            maxThreads="150" SSLEnabled="true"
            scheme="https" secure="true"
                          clientAuth="false"  
            keystoreFile="conf/xx.JKS" 
                      keystorePass="xx"
                              sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" 
 useServerCipherSuitesOrder="true"  >

2 楼 xinglijun1973 2017-07-05

1 楼 xinglijun1973 2017-06-30

如何让服务器设置加密套件顺序？
需要升级到jdk1.8，tomcat8.5.16，在ciphers后，加
useServerCipherSuitesOrder="true"

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论