Tomcat禁用SSLv3和RC4算法

最新推荐文章于 2022-10-17 18:21:49 发布
最新推荐文章于 2022-10-17 18:21:49 发布
阅读量2.9k 收藏 4
点赞数
文章标签: java

1.禁用SSLv3(SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】)

编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,7.0及之前版本默认应如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"/>

修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"/>

8.5及之后版本默认应如下:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

修改如下:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" >
    </Connector>

也就是先删除<SSLHostConfig>标签及其子标签,然后再和7.0之前版本一样追加。

如果不删除<SSLHostConfig>直接追加,启动会报错:conf/server.xml: Error at (92, 25) : Multiple SSLHostConfig elements were provided for the host name [_default_]. Host names must be unique.

应该是说有两个证书的配置入口,8.5版本之后应该是推荐使用<SSLHostConfig>作为新的证书配置方法。但其实旧的配置方法还是兼容的,所以我们这里直接删除<SSLHostConfig>,然后再和7.0之前版本一样追加(下边的漏洞类似操作)。

尝试了一下变更为新的对应属性并没有成功启动,如果已经在<SSLHostConfig>中配置其他内容,那只能自己研究一下该怎么写了。

 

2.禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】)

编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
               ciphers="TLS_ECDHE_RSA_WITAES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>

 

说明:

1.RC4与DES/AES一样是一种对称加密算法

2.算法的说明,TLS_RSA_WITH_AES_128_CBC_SHA256:TLS--SSL还是TSL,RSA--所用非对称加密算法,AES--所用对称加密算法,128--对称加密分组长度,CBC--分组加密模式,SHA256--所用完整性验证算法

 

参考:

http://www.mamicode.com/info-detail-1340430.html

https://www.chinassl.net/?f=faq&a=view&r=605

http://blog.csdn.net/baidu_18607183/article/details/51593586

https://stackoverflow.com/questions/42135892/tomcat-8-5-server-xml-multiple-sslhostconfig-elements-were-provided-for-the-ho

weixin_34082177
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
m0_60721823的博客
04-09 1462
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
tomcat禁用RC4方法
12-14
禁用RC4SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码
SSL3.0 POODLE攻击信息泄漏漏洞(CVE-2014-3566)】【SSL/TLS 受诫礼攻击漏洞(CVE-2015-2808)】
热门推荐
wei_jie_zhang的专栏
10-09 1万+
对于IIS修补 将下面的内容保存为fix.reg,并双击运行来修改注册表: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]"Enabled"=dword:000000
收放自如 注册表禁止使用和恢复禁用
编程爱好者
03-14 901
 1.禁止使用注册表编辑器  大家都了解使用注册表可以做很多事情,它可以大大优化系统,但如果心怀不轨的人更改了电脑的注册表,可就不知要发生什么事情了,所以有时为了计算机的安全,可以通过修改注册表设置禁止其他人更改注册表设置。打开“注册表编辑器”窗口,从左侧栏中依次展开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoli
教你如何在windows server中关闭RC4和3DES
par@ish的博客
04-30 5707
网络安全领域常常可见不可及,而漏洞扫描后的修复,则更是难上加难,对漏洞修复人员的技能要求很高。下面分享一例SSL RC4 Cipher Suites Supported (Bar Mitzvah) 漏洞修复的方法,该漏洞CVSS 3.0评分5.9分。 Nessus scan info: Description The remote host supports the use of RC4 in one or more cipher suites. The RC4 cipher is flawed in it
tomcat 配置SSL
sprita1的专栏
10-22 684
ssl tomcat
tomcat关于DH算法问题解决办法.doc
03-02
tomcat关于DH算法问题解决办法.doc Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法
Opera7.23-SSLv3 https可以使用的浏览器
08-07
现在新的浏览器都不支持SSLv3了,但有些情况必须要使用,这个版本的opera可以打开
Nginx服务器中关于SSL的安全配置详解
01-10
不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually ...
squeeze-lighttpd-poodle:向后移植以允许在 Debian Squeeze 版本的 lighttpd 中禁用 SSLv3
07-06
Debian Squeeze 的 lighttpd 贵宾犬第一版 (1.6.1) 补丁以启用ssl.use-sslv3配置选项,以允许 Debian Squeeze 用户解决 CVE-2014-3566(又名 POODLE),而无需升级到 Wheezy。 最初是从原版 lighttpd 1.4.28 -> ...
sslv3-diediedie:为什么 SSLv3 不是一个好主意
06-21
SSLv3 不安全 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您对此不熟悉,您可能还想阅读之。 请注意,对规范的所有贡献都属于下面概述的“注意事项”条款。 提供反馈(编辑或设计)和提问的最佳...
des加密算法
10-16
des加密算法,des加密算法,好用的东西。
Tomcat SSL解决方案
03-29
里面包含可执行的.bat文件和linux执行文件,生成文件
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 2548
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
apache http server修复CVE-2016-2183漏洞
卧龙居
10-17 1592
nmap -sV -p [端口] --script ssl-enum-ciphers [ip]输出的结果里,不再包含DES等弱加密方式。1.openssl升级,这是必须的。并重启http server。
漏洞扫描:AppScan 识别了不是通过 SSL 发送的密码参数
spt_dream的博客
12-08 6550
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Wind
一个实际问题分析及解决之三:websphere中SSL配置及使用
学习日记
05-08 8537
SSL配置是websphere security中很重要的一部分,具体详细阅读下面内容。 http://www.ibm.com/developerworks/websphere/techjournal/0612_birk/0612_birk.html 这里重点分析两个问题:KeyStore和TrustStore的区别以及如何使用websphere的ssl配置。 一.
Tomcat 7.0配置SSL的问题及解决办法
dreary001的博客
03-15 379
以前一直在用Tomcat 6.0.29版本,今下载了apache-tomcat-7.0.33-windows-x86.zip试试,结果在配置SSL时遇到一些问题。 Tomcat 6版本配置SSL过程有两步: 1、用JDK自带的keytool.exe来生成私有密钥和自签发的证书,如下: [code="java"]keytool -genkey -keyalg RSA -alias ...
linux服务器禁用SSLv3具体操作和命令
最新发布
06-07
禁用SSLv3,你需要编辑OpenSSL的配置文件。以下是具体的操作步骤和命令: 1. 打开openssl.cnf文件 ``` sudo vi /etc/ssl/openssl.cnf ``` 2. 找到以下行: ``` # Options for the main server certificate and key # If you can specify cert1.pem and privkey1.pem in your config file # (SSLCertificateFile and SSLCertificateKeyFile) then # openssl req -new -x509 -keyout privkey.pem -out cert.pem -days 365 # will create them for you in one step. ``` 3. 在这行之后添加以下内容: ``` openssl_conf = openssl_init [openssl_init] ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] Options = !SSLv2 !SSLv3 ``` 这将禁用SSLv2和SSLv3协议。 4. 保存文件并退出。 5. 重新启动Web服务器以使更改生效。 请注意,这只是禁用SSLv3的一种方法,具体的操作可能因你所使用的操作系统和Web服务器而异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值