用于Tomcat7块XP上的IE8的Poodle配置

Question

我已经将Tomcat7(JDK7)服务器配置为只接受TLS (1，1.1和1.2)协议，以寻址POODLE。我还禁用了所有DH加密套件以实现PCI DSS合规性。

不幸的是，这会阻止来自IE8浏览器的所有请求(在XP上)。有没有人解决这个问题。

IE8似乎支持以下非弱密码: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

然而，jdk 7不支持。

感谢您的帮助。

Answer 1

这是在Tomcat 7上用以下配置解决的：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" acceptCount="100" keystoreFile="XXXXXXXXX" keystorePass="XXXXXXXXX" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA"/>

Answer 2

SSL_RSA_WITH_RC4_128_SHA

这是一个SSL密码，我认为通过启用它，您仍然容易受到贵宾犬的攻击。我还没有找到使用JSSE或NIO的Tomcat7/Java7的变通方法。我切换到了APR连接器。但是，为了使用它们，您需要使用最新版本的本地库/tomcat 1.0.32/7.0.57。