ssl - 在 JBoss AS 7.1.1 上关闭 SSLv3

Question

我在 JBoss AS 7.1.1 上运行了 Spring MVC 应用程序。我需要关闭 SSLv3 以防止 Poodle 漏洞。 JBoss 文档位于 https://access.redhat.com/solutions/1232233建议我需要确保 SSLv3 未在 SSL 协议(protocol)属性中列出。

我已经尝试过了，但仅在下面显示的 Internet Explorer 选项中启用 SSL 后，我仍然可以连接到我的网站。下面是我的 standalone.xml 配置:

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1"/>
</connector>

有人可以建议我在这里缺少什么吗？

Answer 1

我终于找到了修复它的方法。如果您在上述配置中将“协议(protocol)”更改为“协议(protocol)”并确保 sslv3 不在协议(protocol)列表中，那么它会禁用 SSLv3。

注意下面配置中的protocols属性

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
     <ssl name="foo-ssl" key-alias="foo" password="secret" certificate-key-file="C:\Dev\Java\jdk1.6.0_34\bin\foo.keystore" protocol="TLSv1,TLSv1.1,TLSv1.2"/>
</connector>

进行此更改后，如果您打开 IE 并禁用除 SSL 3.0 之外的所有其他协议(protocol) - 然后尝试访问该网页，您应该看不到该网页。

此处提供更多详细信息:http://abhirampal.com/2015/07/23/disable-ssl-v3-on-jboss-as-7-1-1/