Tomcat에서 SSLv3을 어떻게 비활성화합니까?

SSLv3 POODLE 취약점 (CVE-2014-3566) 을 어떻게 패치 / 해결 방법에 대한 수정 프로그램을 제공하십시오 ? Tomcat을 위해.

아래 링크를 시도했지만 도움이되지 않습니다 : tomcat-users mailing list archives

server.xml 커넥터에 아래 문자열을 추가하십시오.

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

그런 다음 제거

sslProtocols="TLS"

확인하다

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

사용

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

우리를 위해 일하지 않았다. 우리는 사용해야했다

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

sslEnabledProtocols완전히 배제 했습니다.

모든 최신 노트 브라우저는 TLS1 이상에서 작동 합니다. 더 이상 안전한 SSL 프로토콜이 없으므로 더 이상 안전한 웹 사이트에 대한 IE6 액세스가 없습니다.

몇 초 안에 nmap으로이 취약점에 대해 서버를 테스트하십시오 .

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

ssl-enum-ciphers에 "SSLv3 :"섹션이나 다른 SSL 섹션이 있으면 서버가 취약한 것입니다.

Tomcat 7 웹 서버에서이 취약점을 패치하려면 server.xml커넥터에서

sslProtocols="TLS"

(또는 sslProtocol="SSL"유사한) 다음과 같이 바꾸십시오 :

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

그런 다음 Tomcat을 다시 시작하고 다시 테스트하여 SSL이 더 이상 허용되지 않는지 확인하십시오. 올바른 sslEnabledProtocols문자열을 주신 Connor Relleen에게 감사드립니다 .

Tomcat 6의 경우 위의 작업 외에도 다음을 수행해야했습니다.

에서 server.xml커넥터, 추가 :

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

출처 : https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix