考虑到 POODLE 攻击,我想在部署在 IBM WebSphere 6 上的 Web 应用程序中禁用 SSLv3。有几个问题我无法解决:
1.如何在WAS 6.0和6.1中禁用SSL并启用TLS?
2. 当客户端在浏览器中访问我的应用程序的 url,并且浏览器支持 SSL 时,将使用 SSL 发起请求。由于 WAS 6 将禁用 SSL,最终用户是否有可能获得握手异常?
3. 是否需要更改应用程序配置或更改 Web 服务器属性会有帮助?
最佳答案
您无需更改应用程序中的任何内容。 已经为最新的 WebSphere 版本提供了修复包 - 查看此页面 Vulnerability in SSLv3 affects IBM WebSphere Application Server
For V6.1.0.0 through 6.1.0.47:
- Apply Interim Fix PI28796 : Will upgrade you to IBM Java SDK Version 5.0 Service Refresh 16 Fix Pack 7 + APAR IV66111 for change to disable SSLv3 by default.
6.0 太旧了,我什至不记得它是否支持 TLS。您必须在管理控制台的某个地方挖掘 SSL 设置(确切路径可能不同)Security > SSL > SSL_configuration_name
并将协议(protocol)更改为 TLS。
如果您通过 Web 服务器(Apache 或 IHS)访问 WebSphere,那么您需要在 Web 服务器而不是应用程序服务器上禁用 SSLv3。详情见Vulnerability in SSLv3 affects IBM HTTP Server
Add the following directive to the httpd.conf file to disable SSLv3 and SSLv2 for each context that contains "SSLEnable":
# Disable SSLv3 for CVE-2014-3566
# SSLv2 is disabled in V8R0 and later by default, and in typical V7
# and earlier configurations disabled implicitly when SSLv3 ciphers
# are configured with SSLCipherSpec.
SSLProtocolDisable SSLv3 SSLv2Stop and restart IHS for the changes to take affect.
关于ssl - 如何在 IBM Websphere 6 中禁用 SSL 及其影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29007912/