Конфигурация пуделя для Tomcat 7 блокирует IE8 на XP
Я настроил наш сервер Tomcat 7 (jdk 7) для приема только протоколов TLS (1, 1.1 и 1.2) для адресации POODLE. Я также отключил все наборы шифров DH для обеспечения соответствия PCI DSS.
К сожалению, это блокирует все запросы от браузеров IE8 (на XP). Кто-нибудь обошел эту проблему.
IE8, кажется, поддерживает следующие неслабые шифры: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Однако JDK 7 не делает.
Любая помощь приветствуется.
2 ответа
Это было решено на Tomcat 7 со следующей конфигурацией:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
acceptCount="100"
keystoreFile="XXXXXXXXX"
keystorePass="XXXXXXXXX"
ciphers="SSL_RSA_WITH_RC4_128_MD5,
SSL_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA"/>
SSL_RSA_WITH_RC4_128_SHA
Это SSL-шифр, я думаю, что, включив его, вы по-прежнему уязвимы для пуделя. Я не нашел обходной путь для Tomcat 7/Java 7 с использованием JSSE или NIO. Я переключился на разъемы APR. Для того, чтобы использовать их, вы должны быть в последней версии нативных библиотек /tomcat 1.0.32/7.0.57.