SSLv3.0 / TLSv1.0结合某些encryption技术(CBC分组密码)的使用可能允许攻击者预测后续SSL分组的所谓初始化向量。 使用这些信息,攻击者可以访问另一个用户的安全会话。 这种名为BEAST(针对SSL / TLS的浏览器漏洞攻击)的攻击针对用户的浏览器,而不是针对Web服务器。 不过,也可以在服务器端采取对策,防止攻击成功。
此问题的完整解决scheme是在使用SSLv3.0 / TLSv1.0时禁用或取消对易受攻击encryption密码(CBC分组密码)的支持的优先级。 通常,这可以通过在密码协商过程中优先考虑RC4密码来实现。
对于支持SSLv3.0 / TLSv1.0的Apache Web服务器,可以通过添加以下configuration来进行configuration:
SSLProtocol All –SSlv2 SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!ADH 对于支持SSLv3.1 / TLSv1.1及更高版本的Apache Web服务器,build议使用以下configuration:
SSLProtocol All –SSlv2 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
据我所知,JBoss 7基于支持SSLv3.1 / TLSv1.1的Apache版本(也许我错了),所以第二个select可以应用于JBoss 7。
我的问题是: 在哪里/如何configuration它?
我不确定这是否可以直接应用到JBOSS,除非你想把Apache作为一个Web服务器前端到JBOSS。 请看下面的function请求来解决这个问题,因为这个问题还没有解决,所以还没有被提出。 https://issues.jboss.org/browse/AS7-5501 。