問題タブ [poodle-attack]

xampp経由でWindowsにインストールしたApacheでSSLv3を無効にしようとしています。でもやり方が分からなくて困っています。追加する必要があると言われました

私のssl構成ファイルへですが、それがどこにあるのかわかりません。

私は見る

しかし、私が行った調査から、存在しないように見える ssl.conf ファイルを探していると聞きました。

何か案は？

また、私が読んでいたチュートリアルから、構成ファイルを見つけることができた場合、SSLProtocol All -SSLv2 -SSLv3 を構成ファイルのどこに配置するかまだわかりません。

自己ホスティング NancyFX で C# バックエンドを使用して Web アプリを実行しています。グーグルで調べてみましたが、Nancy で SSL 3 を有効にできるかどうかについての情報はまったく見つかりません。

それは可能ですか？

必要に応じて詳細をお尋ねください。

また、これが代わりに serverfault に投稿されるべきだった場合は申し訳ありません。アプリは数千のクライアントでローカルにインストールされているため、コード関連の回答を期待しています。すべてのサーバーで手動で作業を行う必要はありません...

POODLEの脆弱性のため、Amazon AWS でホストされている私のサーバーは SSLv3 をサポートしなくなりました。

その結果、私の Android アプリがサーバーに対して行う最初の HTTPS 接続は、接続が確立されているときにエラーになります。

エラーは最初のリクエストでのみ発生します。後続のリクエストはしばらくの間機能します。

これを修正するために、Android クライアントが受け入れるプロトコルのリストから SSL を削除し、TLS のみを使用するようにしています。これを行うために、有効なプロトコルとサポートされている暗号スイートのリストから SSL を削除するカスタム SSLSocketFactory を設定しました。

ご覧のとおり、私の SSLSocketFactory は別の SSLSocketFactory に委譲し、有効なプロトコルのリストから SSL を削除するだけです。

としてこの工場を設立

これで問題は解決しません。時々、接続が確立されたときにまだエラーが表示されます。奇妙なことに、これで問題は解決しませんが、明らかに問題の発生を最小限に抑えることができます。

Android クライアントの HttpsUrlConnection で強制的に TLS のみを使用するにはどうすればよいですか?

ありがとうございました。

HttpsUrlConnection API を使用して https サーバーに接続するクライアント アプリケーションを Android で作成しました。Poodle の脆弱性のため、リクエストを呼び出す際に、有効なプロトコルのリストから SSLv3 を無効にする必要があります。

オラクルが取得したガイドラインに従いました

URL接続を呼び出す前に次の行を追加しました

このソリューションは、通常の Java プログラムで正常に機能します。
SSLv3SSLHandShakeExceptionプロトコルでのみ動作するサーバーに接続しようとしたときに発生しました。

しかし、懸念は次のとおりです。同じ修正がAndroidでは機能しません。何か不足していますか、それともアンドロイドの別のアプローチを試す必要がありますか? 提案してください。

非 SSL (HTTP) ポートで WebLogic (アプリケーション サーバー) と通信する IPlanet Web サーバーがあります。WebLogic では HTTPS を使用しておらず、Web サーバーとアプリ サーバーはファイアウォールの背後にあります。証明書はウェブログ サーバー インスタンスにインストールされますが、HTTPS ポートは使用しません。IPlanet Web サーバーは、HTTPS ポート上で、ロード バランサーの背後で実行されています。

LB から (HTTPSWebServer から (HTTP) Weblogic へのトラフィック フローです。Web サーバーまたは Weblogic に直接トラフィックが来ることはありません。

POODLE の修復のために、Web サーバーとアプリ サーバーの SSLv3 を無効にする必要はありますか?