Java 8 で組み込みの Tomcat 8 を使用すると、SSLv3 プロトコルを再度有効にすることができません。インターネット オプション -> SSLv3 がチェックされ、他のすべて (SSLv2、TLS1.0、TLS1.1、TLS1.2) がチェックされていない詳細設定で Web アプリケーションをヒットできません。SSLプロトコルを次のように設定しようとしました:
httpsConnector.setAttribute("sslProtocol", "SSLv3");
SSLプロトコルを次のように設定しようとしました:
httpsConnector.setAttribute("sslEnabledProtocols", "SSLv3");
また、この行を deployment.properties ファイルに追加して、JRE 8 で SSLv3 を有効にしました。
deployment.security.SSLv3=true
最近の JRE は SSLv3 を無効にしていますが、これは当然のことです。これは、現時点で回避すべき壊れたプロトコルです。ただし、一部の環境では SSLv3 のサポートが絶対に必要であり、それは可能です。
まず、TLSv1、TLSv1.1、TLSv1.2 などの上位レベルのプロトコルを無効にしないでください。代わりに、それらのプロトコルに SSLv3 を追加して、より優れたセキュリティを持つクライアントが引き続き上位レベルのプロトコルを使用できるようにします。
JVM で SSLv3 を再度有効にするには、おそらく JVM の起動時に、このシステム プロパティを設定する必要があります。
-Djdk.tls.disabledAlgorithms=
(そこには値がないことに注意してください。)
また、上で行ったのと同じタイプのことを行う必要があります。ここでは、 と を設定sslEnabledProtocolsしますが、ここでも、より高いレベルのプロトコルを無効にしないsslProtocolでください。
更新 2017-06-21
Tomcat 8.5 および 9.0 では、SSLv3無効にするようにハードコーディングされており、少なくとも Tomcat 8.5.15 および Tomcat 9.0.0.M21 までは、ソース パッチを適用して再度有効にする必要があります。現在、Tomcat 8.5 および 9.0 でその禁止事項を削除することについていくつかの議論があります。
更新 2017-06-22
SSLv3Tomcat 8.5.17 および Tomcat 9.0.0.MR23の時点でブラックリストに登録されなくなります。