Est-il possible de désactiver SSLv3 pour toutes les applications Java?
En raison de l'Caniche attaque, il est maintenant recommandé de désactiver SSLv3 pour les applications client et serveur et ne permettent TLS 1.0 -TLS 1.2 connexions.
Est-il un moyen de désactiver SSLv3 pour toutes les applications basées sur Java (serveur et client) sur un ordinateur sans avoir à modifier chaque programme Java?
Peut-être il y a une possibilité de changer la configuration de la JRE ou à l'aide d'une variable d'environnement.
Quelqu'un sait une telle façon?
double possible de Java http des clients et CANICHE
OriginalL'auteur Robert | 2014-10-22
Vous devez vous connecter pour publier un commentaire.
Vous n'avez pas précisé la version de Java, car en dessous de Java 8 il n'existe aucun moyen de refuser ou de désactiver SSL protocole, mais dans Java 8, vous pouvez définir les protocoles activés comme suit
De manière statique:
Dynamiquement:
Si vous êtes toujours à l'aide de java 7 ci-dessous ou essayez d'utiliser contourner expliqué Instructions pour désactiver SSL v3.0 dans Oracle JDK et JRE
J'ai juste mis en œuvre morceau de code suivant pour interdire SSLv3 et SSLv2Hello sur l'un de nos Java6 application.
Où
disabledSSLProtocols
initialisé avecSSLv3,SSLv2Hello
OriginalL'auteur Mubashar Ahmad
Prendre un coup d'oeil à http://www.oracle.com/technetwork/java/javase/overview/tlsreadme-141115.html
Partie pertinente:
Il explique le problème et le corriger.
Oui, très bien. L'attaque fonctionne, car il peut forcer une baisse du protocole SSL3 au lieu de TLS). En désactivant la renégociation, vous désactivez l'attaque,
Tomber en arrière et de mécanisme de renégociation sont différents. Retomber va essayer de créer une connexion en utilisant le protocole le plus récent et essayer un de moins récente si elle échoue. La renégociation est en train de changer la connexion ssl après que la connexion est établie avec succès.
OriginalL'auteur Davio
Pour https-connexions à l'aide de java.net-paquet, vous pouvez essayer d'utiliser l'environnement de la variable
_JAVA_OPTIONS
pour définir le système de la propriétéhttps.protocols
:devez activer seulement les protocoles mentionnés. Notez qu'avant Java 7, le maximum de la version prise en charge a été TLSv1.
Cette solution n'affectera pas les autres SSL-connexions ou http-connexions en utilisant par exemple les apache-http-connecteur.
OriginalL'auteur piet.t
Vous pouvez patch Oracle Java maintenant.
http://www.oracle.com/technetwork/java/javase/documentation/cve-2014-3566-2342133.html
OriginalL'auteur dliu