我有一个Windows 2008服务器与Tomcat 7.0.59&Java 8u31&我试图确保SSLv3被禁用。 查看Java的更改日志,应该不再支持SSL3,并且Java控制面板甚至没有checkbox可以在“高级安全设置”选项中启用它。 即使如此,我已经将sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"到server.xml中的HTTP连接器。 运行POODLE漏洞扫描仍然显示通过SSL3连接的能力。
任何其他地方的想法或工具,可以帮助确定什么是启用/支持SSL3在这个盒子?
以下是完整的连接器configuration供参考:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" keystoreFile="[filepath]" keystorePass="[password]"/>
服务器是在VMWare上运行的虚拟机,仅用于CAS(JA-SIG的Single Sign-On实现)。 系统上安装的其他程序: