Comment faire pour désactiver le protocole SSLv3 dans la Jetée de prévenir Caniche Attaque
Est-il spécifique à l'exclusion de la liste qui désactive seulement SSLv3 les algorithmes ne sont pas TLSv1/2.
J'ai jetée 8, et la mise à niveau vers 9 n'est pas une option. Mon actuel jetty-ssl.xml se présente comme suit
<Configure id="Server" class="org.eclipse.jetty.server.Server">
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg>
<New class="org.eclipse.jetty.http.ssl.SslContextFactory">
.........
</New>
</Arg>
<Set name="ExcludeCipherSuites">
<Array type="java.lang.String">
<Item>SSL_RSA_WITH_NULL_MD5</Item>
<Item>SSL_RSA_WITH_NULL_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5</Item>
<Item>SSL_RSA_WITH_IDEA_CBC_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
<Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_NULL_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_RC4_128_SHA</Item>
<Item>SSL_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_RSA_WITH_AES_128_CBC_SHA</Item>
</Array>
</Set>
</New>
</Arg>
</Call>
encore quand je lance "sslscan --no-échec --ssl3 localhost:443" je obtenir
Supported Server Cipher(s):
Accepted SSLv3 128 bits DHE-RSA-AES128-SHA
Accepted SSLv3 128 bits AES128-SHA
Prefered Server Cipher(s):
SSLv3 128 bits DHE-RSA-AES128-SHA
- Ouvert de nouvelles bug à la Jetée d'avoir SSLv3 désactivé par défaut à partir de la Jetée de 9.3 - bugs.eclipse.org/447381
Vous devez vous connecter pour publier un commentaire.
J'ai dû désactiver SSLv3 dans une application où l'on intégrer la Jetée de code source. Basé sur ce que j'ai changé dans le code, je suppose que vous ajoutez les éléments suivants:
Donner un coup de feu, et laissez-moi savoir si cela fonctionne pour vous.
Étendre sur @Lars réponse ..
Pour Jetty 7, Quai 8, et de la Jetée de 9, vous devez exclure le protocole
SSLv3
(pas de chiffrement) sur touteSslContextFactory
vous utilisez pour configurer le SSL fonction du Connecteur.Pour une Jetée de Distribution
Modifier le
${jetty.home}/etc/jetty-ssl.xml
et ajoutez le code XML suivant extrait.À l'intérieur de n'importe quel élément qui gère un
org.eclipse.jetty.http.ssl.SslContextFactory
Pour Jetty Embarqué
Tout SslContextFactory vous créer/gérer pour votre SSL fonction des Connecteurs, vous devez simplement définir les exclus protocoles.
J'ai configuré la Jetée 8.1 sans ssl3. Vous pouvez voir la structure complète de jetty-ssl.xml.