使用SSL配置保护JBoss 7免受野兽攻击

Question

通过使用SSLv3.0/TLSv1.0和某些加密技术(CBC块密码)，攻击者可以预测后续SSL数据包的所谓初始化向量。使用此信息，攻击者可以访问另一个用户的安全会话。这种攻击名为BEAST (针对SSL/TLS的浏览器攻击)，针对的是用户的浏览器，而不是web服务器。然而，也有可能在服务器端采取对策，以防止成功的攻击。

这个问题的完整解决方案是在使用SSLv3.0/TLSv1.0时禁用或剥夺对易受攻击的加密密码(CBC块密码)的支持。通常，可以通过在密码协商过程中对RC4密码进行排序来实现这一点。

对于支持SSLv3.0/TLSv1.0的Apache web服务器，可以通过添加以下配置来配置：

SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH

对于支持SSLv3.1/TLSv1.1及更高版本的Apache web服务器，建议使用以下配置：

SSLProtocol All –SSlv2
SSLHonorCipherOrder On  
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM

据我所知，JBoss 7基于一个支持SSLv3.1/TLSv1.1的版本(也许我错了)，所以第二个选择可以应用于JBoss 7。

我的问题是:我应该在哪里/如何配置它？

Answer 1

我不确定这是否可以直接应用于JBOSS，除非您希望将Apache前端作为JBOSS的web服务器。请看下面的功能请求，以解决这个问题，它还没有被纠正，因为这个问题仍然是开放的。https://issues.jboss.org/browse/AS7-5501。