Я проверил наш домен на SSL_Labs и обнаружил, что наш сервер уязвим для атаки Poodle . У нас есть система Debian, использующая Apache2 в качестве балансировщика нагрузки и аварийное переключение для двух экземпляров Tomcat. Я сделал следующие изменения в ssl.conf и server.xml в Apache и Tomcat соответственно, перезапустил их все, но SSL_Labs жалуется, что сервер уязвим для атаки Poodle и This server accepts RC4 cipher, but only with older protocol versions.
, Что я делаю неправильно.
Apache меняет:
добавил это в ssl.conf:
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
Изменения в Tomcat: добавлено в файл server.xml для коннектора https:
sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
Есть что-то, чего мне не хватает? Пожалуйста, дайте мне знать.