所以，我的JBoss 5.1.0 GA，我了解我是如何在这里禁用的SSLv3：

https://access.redhat.com/solutions/1232233

什么这里没有提到的是，我还需要摆脱那支回落至SSLv3的所有密码的。 当我这样做，我得到了一个“绿色对号”本网站

https://www.tinfoilsecurity.com/poodle

这基本上是我担保我的服务器和的SSLv3不再被支持的确认，但我现在不能访问使用IE我的网站（IE的所有版本）。 因为我只在我在server.xml配置密码列表有4个密码，我的目标是找到更多的密码在此列表中添加，让IE的工作。 我加了50多个密码，但仍IE将不加载我的网站。 下面是我迄今为止所使用的所有密码的列表（我从这里列表（ https://www.openssl.org/docs/apps/ciphers.html ）：

TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA，TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA，TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA，TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA，TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA，TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA，TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA，TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA，TLS_DH_DSS_WITH_SEED_CBC_SHA，TLS_DH_RSA_WITH_SEED_CBC_SHA，TLS_DHE_DSS_WITH_SEED_CBC_SHA，TLS_DHE_RSA_WITH_SEED_CBC_SHA，TLS_RSA_WITH_NULL_MD5，TLS_RSA_WITH_NULL_SHA，TLS_RSA_EXPORT_WITH_RC4_40_MD5，TLS_RSA_WITH_RC4_128_MD5，TLS_RSA_WITH_RC4_128_SHA，TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5，TLS_RSA_WITH_IDEA_CBC_SHA，TLS_RSA_EXPORT_WITH_DES40_CBC_SHA，TLS_RSA_WITH_DES_CBC_SHA，TLS_RSA_WITH_3DES_EDE_CBC_SHA，TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA，TLS_DH_DSS_WITH_DES_CBC_SHA，TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA， TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA，TLS_DH_RSA_WITH_DES_CBC_SHA，TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA，TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA，TLS_DHE_DSS_WITH_DES_CBC_SHA，TLS_DHE_DSS_WI TH_3DES_EDE_CBC_SHA，TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA，TLS_DHE_RSA_WITH_DES_CBC_SHA，TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA，TLS_DH_DSS_WITH_AES_128_CBC_SHA，TLS_DH_DSS_WITH_AES_256_CBC_SHA，TLS_DH_RSA_WITH_AES_128_CBC_SHA，TLS_DH_RSA_WITH_AES_256_CBC_SHA，TLS_DHE_DSS_WITH_AES_128_CBC_SHA，TLS_DHE_DSS_WITH_AES_256_CBC_SHA，TLS_DHE_RSA_WITH_AES_128_CBC_SHA，TLS_DHE_RSA_WITH_AES_256_CBC_SHA，TLS_KRB5_WITH_RC4_128_MD5，TLS_KRB5_WITH_RC4_128_SHA

这些密码都没有用IE浏览器，这意味着，当我接近我的服务器与IE浏览器，我得到“该页面无法显示”。

有人可以帮我弄这个吗？ 是否有一个密码，我可以使用，这将不开放的SSLv3我的服务器上，并且还将与IE浏览器？

更新：如果我实现由红帽建议的解决方案（即，改变sslProtocols为“使用TLSv1，TLSv1.1，TLSv1.2工作”）：

1. 开始的JBoss说“的TLSv1，TLSv1.1，TLSv1.2工作的SSLContext不可用”当我得到一个错误。 这意味着，这个字符串是无效的，我必须只使用这些协议中的一个。 好了好了，我会去eith最安全的一个：“TLS1.2”
2. 另一个问题是，在RedHat的解决方案中，没有对密码的提及。 我的印象是，“密码”元素不需要了下，所以我删除它从server.xml中，改变了sslProtocols值“TLSv1.2工作”和扫描我的服务器。 仍然容易受到攻击！
3. 我试着设置TLSv1.1和使用TLSv1。 这是行不通的。 看来，sslProtocols元素没有了哪些协议，服务器使用，这意味着只有密码元素有一定的价值有任何影响。
4. 那好吧，我说...我会找到一些TLSv1.2工作具体的密码，我将它添加那里，从而紧紧固定在我的服务器。 我添加了所有TLSv1.2工作密码从指定的列表https://www.openssl.org/docs/apps/ciphers.html链接。 扫描我的服务器，获得了“绿色对勾”，everyting OK和安全......试图通过任何浏览器...“的页面无法打开”接近我的服务器。 铬：ERR_SSL_VERSION_OR_CIPHER_MISMATCH火狐：ssl_error_no_cypher_overlap IE：网页无法打开（不具有礼貌告知我为什么）到底是什么？ 我现在应该怎么办？
5. 好吧，我将开始从下往上从添加密码https://www.openssl.org/docs/apps/ciphers.html列表，跳过的SSLv3的。 我得到这个（真的很短）名单：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA（即仅适用于该密码）TLS_DHE_RSA_WITH_AES_128_CBC_SHA，（FF，Chrome和Safari的工作与此cipher）TLS_DHE_RSA_WITH_AES_256_CBC_SHA，（FF，Chrome和此cipher野生动物园工作）所有的浏览器，事情看起来OK。 https://www.tinfoilsecurity.com/poodle - >绿色对勾，一切都很好！ 让我们尝试一些在线扫描仪，只要是安全的...... https://www.expeditedssl.com/poodle - >不容易受到攻击。 大！ https://www.poodlescan.com/ - >不堪一击！ 他妈的！
6. 终极扫描：ssllabs.com ...不堪一击！

我在这里失去我的脑海里......请帮助！

UPDATE2：经过2天失去试图找出是什么问题...来自Redhat的修复建议包含的元素sslProtocol ***县***而不是在sslProtocol（注意最后有没有“S”），这是我用，并且这是官方JbossWeb文档中描述http://docs.jboss.org/jbossweb/2.1.x/config/http.html

我只是说sslProtocols =“的TLSv1，TLSv1.1，TLSv1.2工作”，并去掉了“密码”的元素，一切正常。

你只需要设置sslProtocols为TLS 1.0，1.1和1.2，以防止攻击狮子狗在RedHat的文档描述https://access.redhat.com/solutions/1232233 （现在看来是好的，他们已经更新了它一对夫妇的时间作为财产的价值是不正确的）。

在事实SSL3.0和TLS1.0和tls1.1暗号基本上是相同的，所以去除SSL3.0暗号将事实上的只剩下1.2新cyphers（GMC的一个）。 贵宾犬的攻击实在是特定于使用SSL3和CBC密码的组合，禁用SSL3足以防止这些问题。

你把密码的列表中包含了一些非常非常糟糕的一个（出口，RC2 ...）。

你可以在Mozilla的服务器端SSL配置建议看看有没有密码，你可以使用一个想法： https://wiki.mozilla.org/Security/Server_Side_TLS 。

要对您的服务器和浏览器，其安全水平的看法它就能服务器可以使用ssllabs测试 。

PS：您使用哪个版本的IE。 这是6，它是符合逻辑，因为它默认只支持SSL3。 您可以启用TLS 1.0（Internet选项>高级;最后还有支持SSL / TLS的列表，你可以检查TLS 1.0并取消SSL 3.0提高安全性）。 如果你需要在默认情况下IE 6访问，防止狮子狗......抱歉，没有安全的方式（RC4密码将与SSL3工作，因此不容易受到贵宾但他们不是其他原因的安全）。 这的确是一个IE6的杀手，没有办法与IE6缺省配置安全的SSL连接。

经过2天失去试图找出问题是什么？

从RedHat的建议的修复包含的元件sslProtocol S作为对置到sslProtocol（注意有在端部没有“S”），我用其中，并且其官方JbossWeb文档中描述http://docs.jboss.org /jbossweb/2.1.x/config/http.html

我只是说

sslProtocols = “使用TLSv1，TLSv1.1，TLSv1.2工作”

并取消了“密码”的元素，现在一切正常。