Tomcat 老版本存在的问题
Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料。该漏洞情况与三月爆发的FREAK颇为类似,差别在于它是基于TLS协定的漏洞,而非实际的瑕疵,而且攻击目的为Diffie-Hellman,不是RSA的密钥交换。
Firefox 39版本后浏览器要求服务器必须关闭服务端 SSLv3
和存在漏洞的
加密套件,否则禁止访问服务器页面,并出现 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。(错误码: ssl_error_weak_server_ephemeral_dh_key)错误。
为彻底解决 Tomcat上默认开启SSLv3和使用弱口令算法导致的Firefox无法访问的问题,建议使用以下2个方案:
- 升级 Tomcat版本到7及其以上版本。
由于升级涉及到业务系统调试和改造,推荐您视您的业务系统的正常使用而定,升级后您需要在SSL配置中配置
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads&