我已将我们的 Tomcat 7 (jdk 7) 服务器配置为仅接受 TLS(1、1.1 和 1.2)协议,以解决 POODLE。我还禁用了所有 DH 密码套件以实现 PCI DSS 合规性。
不幸的是,这会阻止来自 IE8 浏览器(在 XP 上)的所有请求。有没有人解决这个问题。
IE8 似乎支持以下非弱密码: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
但是 jdk 7 没有。
任何帮助表示赞赏。
这已在 Tomcat 7 上通过以下配置解决:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
acceptCount="100"
keystoreFile="XXXXXXXXX"
keystorePass="XXXXXXXXX"
ciphers="SSL_RSA_WITH_RC4_128_MD5,
SSL_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA"/>
SSL_RSA_WITH_RC4_128_SHA
这是一个 SSL 密码,我认为通过启用它,您仍然容易受到贵宾犬的攻击。我还没有找到使用 JSSE 或 NIO 来解决 tomcat 7/Java 7 的问题。我切换到 APR 连接器。为了使用它们,您需要使用最新版本的本地库/tomcat 1.0.32/7.0.57。