所以,我的JBoss 5.1.0 GA,我了解我是如何在这里禁用的SSLv3:
https://access.redhat.com/solutions/1232233
什么这里没有提到的是,我还需要摆脱那支回落至SSLv3的所有密码的。 当我这样做,我得到了一个“绿色对号”本网站
https://www.tinfoilsecurity.com/poodle
这基本上是我担保我的服务器和的SSLv3不再被支持的确认,但我现在不能访问使用IE我的网站(IE的所有版本)。 因为我只在我在server.xml配置密码列表有4个密码,我的目标是找到更多的密码在此列表中添加,让IE的工作。 我加了50多个密码,但仍IE将不加载我的网站。 下面是我迄今为止所使用的所有密码的列表(我从这里列表( https://www.openssl.org/docs/apps/ciphers.html ):
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA,TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA,TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA,TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA,TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA,TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA,TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA,TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA,TLS_DH_DSS_WITH_SEED_CBC_SHA,TLS_DH_RSA_WITH_SEED_CBC_SHA,TLS_DHE_DSS_WITH_SEED_CBC_SHA,TLS_DHE_RSA_WITH_SEED_CBC_SHA,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA,TLS_RSA_EXPORT_WITH_RC4_40_MD5,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5,TLS_RSA_WITH_IDEA_CBC_SHA,TLS_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA,TLS_DH_DSS_WITH_DES_CBC_SHA,TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_DH_RSA_WITH_DES_CBC_SHA,TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA,TLS_DHE_DSS_WITH_DES_CBC_SHA,TLS_DHE_DSS_WI TH_3DES_EDE_CBC_SHA,TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_DHE_RSA_WITH_DES_CBC_SHA,TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DH_DSS_WITH_AES_128_CBC_SHA,TLS_DH_DSS_WITH_AES_256_CBC_SHA,TLS_DH_RSA_WITH_AES_128_CBC_SHA,TLS_DH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_KRB5_WITH_RC4_128_MD5,TLS_KRB5_WITH_RC4_128_SHA
这些密码都没有用IE浏览器,这意味着,当我接近我的服务器与IE浏览器,我得到“该页面无法显示”。
有人可以帮我弄这个吗? 是否有一个密码,我可以使用,这将不开放的SSLv3我的服务器上,并且还将与IE浏览器?
更新:如果我实现由红帽建议的解决方案(即,改变sslProtocols为“使用TLSv1,TLSv1.1,TLSv1.2工作”):
- 开始的JBoss说“的TLSv1,TLSv1.1,TLSv1.2工作的SSLContext不可用”当我得到一个错误。 这意味着,这个字符串是无效的,我必须只使用这些协议中的一个。 好了好了,我会去eith最安全的一个:“TLS1.2”
- 另一个问题是,在RedHat的解决方案中,没有对密码的提及。 我的印象是,“密码”元素不需要了下,所以我删除它从server.xml中,改变了sslProtocols值“TLSv1.2工作”和扫描我的服务器。 仍然容易受到攻击!
- 我试着设置TLSv1.1和使用TLSv1。 这是行不通的。 看来,sslProtocols元素没有了哪些协议,服务器使用,这意味着只有密码元素有一定的价值有任何影响。
- 那好吧,我说...我会找到一些TLSv1.2工作具体的密码,我将它添加那里,从而紧紧固定在我的服务器。 我添加了所有TLSv1.2工作密码从指定的列表https://www.openssl.org/docs/apps/ciphers.html链接。 扫描我的服务器,获得了“绿色对勾”,everyting OK和安全......试图通过任何浏览器...“的页面无法打开”接近我的服务器。 铬:ERR_SSL_VERSION_OR_CIPHER_MISMATCH火狐:ssl_error_no_cypher_overlap IE:网页无法打开(不具有礼貌告知我为什么)到底是什么? 我现在应该怎么办?
- 好吧,我将开始从下往上从添加密码https://www.openssl.org/docs/apps/ciphers.html列表,跳过的SSLv3的。 我得到这个(真的很短)名单:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(即仅适用于该密码)TLS_DHE_RSA_WITH_AES_128_CBC_SHA,(FF,Chrome和Safari的工作与此cipher)TLS_DHE_RSA_WITH_AES_256_CBC_SHA,(FF,Chrome和此cipher野生动物园工作)所有的浏览器,事情看起来OK。 https://www.tinfoilsecurity.com/poodle - >绿色对勾,一切都很好! 让我们尝试一些在线扫描仪,只要是安全的...... https://www.expeditedssl.com/poodle - >不容易受到攻击。 大! https://www.poodlescan.com/ - >不堪一击! 他妈的!
- 终极扫描:ssllabs.com ...不堪一击!
我在这里失去我的脑海里......请帮助!
UPDATE2:经过2天失去试图找出是什么问题...来自Redhat的修复建议包含的元素sslProtocol ***县***而不是在sslProtocol(注意最后有没有“S”),这是我用,并且这是官方JbossWeb文档中描述http://docs.jboss.org/jbossweb/2.1.x/config/http.html
我只是说sslProtocols =“的TLSv1,TLSv1.1,TLSv1.2工作”,并去掉了“密码”的元素,一切正常。
