ssl - JBoss AS 7.1.1 で SSLv3 をオフにする

Question

JBoss AS 7.1.1 で Spring MVC アプリを実行しています。Poodle の脆弱性から保護するために、SSLv3 をオフにする必要があります。https://access.redhat.com/solutions/1232233の JBoss ドキュメントは、SSLv3 が SSL プロトコル属性にリストされていないことを確認する必要があることを示唆しています。

試してみましたが、以下に表示されている Internet Explorer のオプションで SSL を有効にするだけで、Web サイトに接続できます。以下は私のstandalone.xml構成です：

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1"/>
</connector>

誰かが私がここで欠けているものを提案できますか?

ここに画像の説明を入力

score 0 · Accepted Answer

私はついにそれを修正する方法を考え出しました。上記の構成で「protocol」を「protocols」に変更し、sslv3 がプロトコルリストに含まれていないことを確認すると、SSLv3 が無効になります。

以下の構成のprotocol属性に注意してください

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1,TLSv1.1,TLSv1.2"/>
</connector>

この変更を行った後、IE を開いて SSL 3.0 以外のすべてのプロトコルを無効にしてから Web ページにアクセスしようとすると、Web ページが表示されないはずです。

詳細はこちら: http://abhirampal.com/2015/07/23/disable-ssl-v3-on-jboss-as-7-1-1/

ssl - JBoss AS 7.1.1 で SSLv3 をオフにする

1 に答える 1

Related

Reference