使用SSL配置保护JBoss 7免受野兽攻击

Question

通过使用SSLv3.0/TLSv1.0和某些加密技术(CBC块密码)，攻击者可以预测后续SSL数据包的所谓初始化向量。使用此信息，攻击者可以访问另一个用户的安全会话。这种攻击名为BEAST (针对SSL/TLS的浏览器攻击)，针对的是用户的浏览器，而不是web服务器。然而，也有可能在服务器端采取对策，以防止成功的攻击。

这个问题的完整解决方案是在使用SSLv3.0/TLSv1.0时禁用或剥夺对易受攻击的加密密码(CBC块密码)的支持。通常，可以通过在密码协商过程中对RC4密码进行排序来实现这一点。

对于支持SSLv3.0/TLSv1.0的Apache web服务器，可以通过添加以下配置来配置：

SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH

对于支持SSLv3.1/TLSv1.1及更高版本的Apache web服务器，建议使用以下配置：

SSLProtocol All –SSlv2
SSLHonorCipherOrder On  
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM

据我所知，JBoss 7基于一个支持SSLv3.1/TLSv1.1的版本(也许我错了)，所以第二个选择可以应用于JBoss 7。

我的问题是：在哪里/如何配置它？

Answer 1

不要妄想与野兽攻击。根据这甲骨文修复问题，它与JBoss问题没有直接关系。正如所述，这里很难在现实世界中应用猛兽攻击。只需确保JVM和JBoss是最新的。如果您仍然对在反向代理(如apache或nginx )后面运行JBoss的最佳实践有疑问的话。