如何在tomcat中禁用SSLv3？

Question

如何在tomcat中禁用发现的POOLDE漏洞的SSLv3，它对浏览器会有什么影响，所有浏览器都能正常工作？

Answer 1

使用下面的server.xml中conffiguration（最后一行是重要的）

 `<Connector protocol="HTTP/1.1" SSLEnabled="true" 
     port="8443" address="${jboss.bind.address}" 
     scheme="https" secure="true" clientAuth="false" 
     keystoreFile="${jboss.server.home.dir}/conf/keystore.jks" 
     keystorePass="rmi+ssl" 
     sslProtocols = "TLS" sslEnabledProtocols="TLSv1+TLSv1.1+TLSv1.2"/>` 

禁用的SSLv3的影响

有对大多数人来说影响不大在禁用SSLv3的，因为他们不是靠SSLv3通过SSL/TLS建立连接。大部分依赖于TLS。

未来，浏览器如Google Chrome和FireFox将在发布时禁用SSLv3。建议在家庭浏览器上禁用SSLv3，而不仅仅是服务器应用程序。

IE 6等很老的浏览器都会遇到问题，但我想这些都是不支持may latest技术的。

注意：谢谢克里斯托弗，根据您的建议更新。

Answer 2

我试过了由Deepak建议的配置。虽然Tomcat确实启动了，但仍然可以使用SSLv3访问网络应用程序。这blog post about the POODLE attack建议配置为我工作。我们正在运行Tomcat 7.0.55和7.0.56。实施例连接器的下面（注意，我们使用JKS密钥库，因此协议属性）

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" 
     maxThreads="150" scheme="https" secure="true" clientAuth="false" 
     keystoreFile="conf\store\tomcat.keystore" enableLookups="true" 
     keystorePass="password" sslProtocol = "TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA" 
     sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" server="Apache Tomcat" /> 

Answer 3

对于我的配置，其中我使用的Tomcat 7（7.0.56）和HTTP/1.1连接器（因此它不是NIO或本地连接器）这些属性的组合效果很好：

sslProtocol="TLS" 
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" 

而只是为了补充 - 我对Java 7中

运行似乎有可能在符号（即通过向独立是否不同协议逗号或是否需要基于“+”的单个值协议的连接）在各种连接器之间。

对于我sslEnabledProtocols可以作为逗号分隔如Tomcat的7组态参考说明（http://tomcat.apache.org/tomcat-7.0-doc/config/http.html#SSL_Support）

Answer 4

在Tomcat中6.0.20 server.xml中的连接器子句中的下面的配置工作

sslProtocol="SSL" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"