Wie deaktiviere ich die SSLv3-Unterstützung in Apache Tomcat?

20

Ich versuche, meinen Apache Tomcat-Server so zu konfigurieren, dass er nur TLSv1 verwendet. Mit bestimmten Browsern wird jedoch immer noch auf SSLv3 zurückgegriffen.

Ich richte das <connector> -Tag mit den folgenden Einstellungen ein:

<Connector ...
       enableLookups="true" disableUploadTimeout="true"
       acceptCount="100"  maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" />

Fehlt mir eine Konfigurationseinstellung oder ist etwas vorhanden, das ich nicht haben sollte?

ssl  tomcat  configuration  poodle 
rmiesen
quelle
Was ist das Problem mit v3? Ich dachte, dass v1 Sicherheitsprobleme hatte.
MDPC
8
@mdpc POODLE wirkt sich auf SSLv3 aus.
CoverosGene
2
Tomcat-Version? JDK-Version? In neueren Versionen ist sslProtocol standardmäßig TLS.
Xavier Lucas
2
rmeisen: Die Antworten hängen von Ihrer Tomcat- und Java-Version ab und davon, ob Sie JSSE versus AJP verwenden. Die Unterschiede sind so subtil wie sslProtocols=TLSv1Verse sslProtocol="TLS"(Beachten Sie, dass s?). Wenn Sie Ihre Tomcat- und Java-Versionen angeben, werden Sie vor Wahnsinn geschützt.
Stefan Lasiewski

Antworten:

12

Abhängig von der Version von Tomcat 5 und Version 6 funktioniert SSLEnabled = "true" möglicherweise nicht, da es in der Mitte der Version hinzugefügt wurde. Um dies zu überwinden, müssen Sie nur Folgendes bearbeiten: sslProtocols = TLS To: sslProtocols = "TLSv1, TLSv1.1, TLSv1.2"

Scheint seltsam, aber obwohl TLS steht, enthält es SSL 3.

Dies hat es auf unseren Tomcat 5.5.20- und unseren Tomcat 6-Instanzen behoben. -Greg

Ich glaube, Sie müssen Folgendes tun:

Jboss:

<Connector protocol="HTTP/1.1" SSLEnabled="true" 
       enableLookups="true" disableUploadTimeout="true"
       acceptCount="100"  maxThreads="200"
       scheme="https" secure="true" clientAuth="false" 
       keystoreFile="${jboss.server.home.dir}/conf/keystore.jks"
       keystorePass="rmi+ssl"
       sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Wir sind uns nicht sicher, ob in der Cipher Suite-Definition sslprotocols jedoch auf TLSv1, TLSv1.1, TLSv1.2 festgelegt sein sollte

Abhängig von Ihrer Tomcat-Version gibt es andere mögliche Lösungen:

Tomcat 5 und 6

<Connector...
   enableLookups="true" disableUploadTimeout="true"
   acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
   clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

** Auf RHEL5-basierten Distributionen gilt Folgendes für Tomcat 6-Versionen vor Tomcat 6.0.38 **

Beachten Sie, dass TLSv1.1,TLSv1.2dies von Java 7 und nicht von Java 6 unterstützt wird. Das Hinzufügen dieser Anweisungen zu einem Server mit Java 6 ist harmlos, aktiviert TLSv1.1 und TLSv1.2 jedoch nicht.

<Connector...
   enableLookups="true" disableUploadTimeout="true"
   acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
   clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Tomcat> = 7

<Connector...
       enableLookups="true" disableUploadTimeout="true"
       acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

Tomcat APR-Anschlüsse

<Connector...
               maxThreads="200"
               enableLookups="true" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true" 
               SSLProtocol="TLSv1"
               SSLCertificateFile="${catalina.base}/conf/localhost.crt"
               SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />

Die obigen Angaben wurden geändert, um den oben angegebenen Steckverbinderspezifikationen zu entsprechen. Quelle: https://access.redhat.com/solutions/1232233

RCG
quelle
1
Zu Ihrer Information, sslEnabledProtocolswir haben nicht mit Tomcat 6 gearbeitet sslProtocols = "TLSv1,....".
Stefan Lasiewski
4

Ich habe einen ähnlichen Anwendungsfall, der es Tomcat 7 ermöglicht, ausschließlich TLSv1.2 zu verwenden und nicht auf frühere SSL-Protokolle wie TLSv1.1 oder SSLv3 zurückzugreifen.

Ich verwende: C: \ apache-tomcat-7.0.64-64bit und C: \ Java64 \ jdk1.8.0_60.

Folgen Sie dieser Anweisung: https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html . Die Einrichtung der SSL-Unterstützung für Tomcat ist relativ einfach.

Aus vielen Referenzen habe ich viele Kombinationen getestet und schließlich eine gefunden, die Tomcat 7 dazu zwingt, nur TLSv1.2 zu akzeptieren. 2 Stellen zum Anfassen:

1) In C: \ apache-tomcat-7.0.64-64bit \ conf \ server.xml

<Connector port="8443" 
 protocol="org.apache.coyote.http11.Http11Protocol"
 maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
 keystoreFile="ssl/.keystore" keystorePass="changeit"
 clientAuth="false" sslProtocol="SSL" sslEnabledProtocols="TLSv1.2" />

woher

keystoreFile = lokaler selbstsignierter Trust Store

org.apache.coyote.http11.Http11Protocol = JSSE BIO Implementierung.

Wir verwenden es nicht org.apache.coyote.http11.Http11AprProtocol, da es von openssl betrieben wird. Das zugrunde liegende openssl wird zurückgreifen, um frühere SSL-Protokolle zu unterstützen.

2) Aktivieren Sie beim Starten von Tomcat die folgenden Umgebungsparameter.

set JAVA_HOME=C:\Java64\jdk1.8.0_60
set PATH=%PATH%;C:\Java64\jdk1.8.0_60\bin
set CATALINA_HOME=C:\apache-tomcat-7.0.64-64bit
set JAVA_OPTS=-Djdk.tls.client.protocols="TLSv1.2" -Dsun.security.ssl.allowUnsafeRenegotiation=false -Dhttps.protocols="TLSv1.2"

JAVA_OPTS-Einschränkung ist erforderlich, andernfalls greift Tomcat (mit Java8) auf frühere SSL-Protokolle zurück.

Starten Sie Tomcat C:\apache-tomcat-7.0.64-64bit\bin\startup.bat

Wir können sehen, dass JAVA_OPTS im Tomcat-Startprotokoll angezeigt wird.

Oct 16, 2015 4:10:17 PM org.apache.catalina.startup.VersionLoggerListener log
INFO: Command line argument: -Djdk.tls.client.protocols=TLSv1.2
Oct 16, 2015 4:10:17 PM org.apache.catalina.startup.VersionLoggerListener log
INFO: Command line argument: -Dsun.security.ssl.allowUnsafeRenegotiation=false
Oct 16, 2015 4:10:17 PM org.apache.catalina.startup.VersionLoggerListener log
INFO: Command line argument: -Dhttps.protocols=TLSv1.2

Dann können wir den Befehl openssl verwenden, um unser Setup zu überprüfen. Verbinden Sie zunächst localhost: 8443 mit dem TLSv1.1-Protokoll. Tomcat lehnt es ab, mit einem Serverzertifikat zu antworten.

C:\OpenSSL-Win32\bin>openssl s_client -connect localhost:8443 -tls1_1
Loading 'screen' into random state - done
CONNECTED(000001C0)
5372:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:.\ssl\s3_pkt.c:362:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 0 bytes

Connect localhost: 8443 mit TLSv1.2-Protokoll, Tomcat antwortet ServerHello mit Zertifikat:

C:\OpenSSL-Win32\bin>openssl s_client -connect localhost:8443 -tls1_2
Loading 'screen' into random state - done
CONNECTED(000001C0)
depth=1 C = US, ST = Washington, L = Seattle, O = getaCert - www.getacert.com
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
0 s:/C=SG/ST=SG/L=Singapore/O=Xxxx/OU=Development/CN=Myself
   i:/C=US/ST=Washington/L=Seattle/O=getaCert - www.getacert.com
1 s:/C=US/ST=Washington/L=Seattle/O=getaCert - www.getacert.com
   i:/C=US/ST=Washington/L=Seattle/O=getaCert - www.getacert.com
---
Server certificate
-----BEGIN CERTIFICATE-----
(ignored)
-----END CERTIFICATE-----
subject=/C=SG/ST=SG/L=Singapore/O=Xxxx/OU=Development/CN=Myself
issuer=/C=US/ST=Washington/L=Seattle/O=getaCert - www.getacert.com
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2367 bytes and written 443 bytes

Dies zeigt, dass Tomcat jetzt nur noch auf TLSv1.2-Anforderungen reagiert.

oraclesoon
quelle
Sehr nette und gründliche Antwort! Ein dickes Lob!
Jenny D sagt Reinstate Monica
Ich habe festgestellt, dass dies JAVA_OPTS=-Djdk.tls.client.protocols="TLSv1.2nicht erforderlich ist (Tomcat 8.0.29, Java 1.8.0_74). Es wird auch hier nicht erwähnt: wiki.apache.org/tomcat/Security/POODLE
Paul
0

In Tomcat 6.0.41 müssen Sie den blockierenden Connector verwenden, da der NIO diese Einstellungen ignoriert.

http://wiki.apache.org/tomcat/Security/POODLE

http://mail-archives.apache.org/mod_mbox/tomcat-users/201410.mbox/%3C5440F1C6.3040205@apache.org%3E

Connector-Port = "443" protocol = "org.apache.coyote.http11.Http11Protocol" maxThreads = "200" scheme = "https" secure = "true" SSLEnabled = "true" clientAuth = "false"
keystoreFile = "tomcat.jks "keystorePass =" changeit "sslEnabledProtocols =" TLSv1, TLSv1.1, TLSv1.2 "/>

PaulAndrewLang
quelle
0

In Tomcat 5.5 sollten Sie undokumentierte Parameter verwenden 

protocols="TLSv1"

um die Verwendung dieser Protokollversion genau zu beschränken.

Mic
quelle
0

Um SSL 3 (POODLE) in Jboss 4.0.3 SP1 (Tomcat 5.5 mit Java 1.5) in server.xml zu deaktivieren, ändern Sie Ihren Code wie folgt.

<Connector port="443" address="${jboss.bind.address}" maxThreads="100" strategy="ms" maxHttpHeaderSize="8192" emptySessionPath="true" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/conf/eCP.keystore" keystorePass="password" sslProtocol="TLS" protocols="TLSv1,TLSv1.1,TLSv1.2" />

Abaya Natarajan
quelle
0

Für neuere Tomcats verwenden Sie sslProtocols und sslEnabledProtocols wie folgt :

<Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" SSLEnabled="true" URIEncoding="UTF-8" keystorePass=""/>

andrej
quelle
0

Vor allem, wie @iviorel sagt, ist es nicht sslProtocols, es ist sslProtocol. (Warum hat seine Antwort Downscore bekommen?)

JSSE Unter
Tomcat 7 und Java 7 sslProtocolfunktioniert die folgende Konfiguration nicht:

<Connector SSLEnabled="true" clientAuth="false" 
keyAlias="keyalias" keystoreFile="keystore" keystorePass="changeit" 
maxThreads="150" port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
scheme="https" secure="true" sslProtocol="TLSv1,TLSv1.1,TLSv1.2" />

Es sagt:

SEVERE: Failed to initialize end point associated with ProtocolHandler ["http-bio-443"]
java.io.IOException: TLSv1,TLSv1.1,TLSv1.2 SSLContext not available
    at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:465)
    at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:187)
    at org.apache.tomcat.util.net.JIoEndpoint.bind(JIoEndpoint.java:398)
    at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:646)
    ...
Caused by: java.security.NoSuchAlgorithmException: TLSv1,TLSv1.1,TLSv1.2 SSLContext not available
    at sun.security.jca.GetInstance.getInstance(GetInstance.java:159)
    at javax.net.ssl.SSLContext.getInstance(SSLContext.java:156)
    at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSSLContext(JSSESocketFactory.java:478)
    at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:439)
    ... 19 more

Aber das Folgende funktioniert gut:

<Connector SSLEnabled="true" clientAuth="false" 
keyAlias="keyalias" keystoreFile="keystore" keystorePass="changeit" 
maxThreads="150" port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" />

APR
So deaktivieren Sie SSL v3 und aktivieren das TLSv1-Protokoll: 

SSLProtocol="TLSv1"

So aktivieren Sie die Protokolle TLSv1, TLSv1.1 und TLSv1.2: 

SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"

Oder:

SSLProtocol="all"

Hinweis: Für die Werte "TLSv1.1" und "TLSv1.2" ist Tomcat Native 1.1.32 und eine Version von Tomcat erforderlich, die dies unterstützt.

Rad
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.