Конфигурация пуделя для Tomcat 7 блокирует IE8 на XP

Я настроил наш сервер Tomcat 7 (jdk 7) для приема только протоколов TLS (1, 1.1 и 1.2) для адресации POODLE. Я также отключил все наборы шифров DH для обеспечения соответствия PCI DSS.

К сожалению, это блокирует все запросы от браузеров IE8 (на XP). Кто-нибудь обошел эту проблему.

IE8, кажется, поддерживает следующие неслабые шифры: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Однако JDK 7 не делает.

Любая помощь приветствуется.

2 ответа

Это было решено на Tomcat 7 со следующей конфигурацией:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" acceptCount="100" keystoreFile="XXXXXXXXX" keystorePass="XXXXXXXXX" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA"/>

SSL_RSA_WITH_RC4_128_SHA

Это SSL-шифр, я думаю, что, включив его, вы по-прежнему уязвимы для пуделя. Я не нашел обходной путь для Tomcat 7/Java 7 с использованием JSSE или NIO. Я переключился на разъемы APR. Для того, чтобы использовать их, вы должны быть в последней версии нативных библиотек /tomcat 1.0.32/7.0.57.

Другие вопросы по тегам