Мы запускаем веб-приложение на Tomcat 6, используя собственный SSL-соединитель Apache Portable Runtime SSL для обеспечения соединения SSL. Как мы можем настроить сервер для предотвращения атаки BEAST ?. Предлагаемое решение (1) не может быть сконфигурировано в конфигурации Tomcat, поскольку оно не позволяет установить параметр SSLHonorCipherOrder (2).защищать tomcat 6 apr SSL против атаки BEAST
В настоящее время мы используем только настройку SSLCipherSuite = "ECDHE-RSA-AES256-SHA384: AES256-SHA256: RC4: HIGH:! MD5:! ANULL:! EDH:! AESGCM", но проверка с использованием теста SSL-сервера показывает сервер по-прежнему уязвим против атаки BEAST. Я знаю, что мы можем решить эту проблему, отправив Tomcat с помощью прокси-сервера Apache, но это изменение слишком инвазивно для реализации в краткосрочной перспективе. Я также могу установить Tomcat для добавления поддержки, но это предотвратит автоматическое обновление пакета Tomcat, которое противоречит политикам.
1: https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
2: http://tomcat.apache.org/tomcat-6.0-doc/apr.html
В приведенном выше сообщении об ошибке говорится, что директива CipherOrder для Tomcat 6 была предложена (еще в августе), но я не вижу никаких доказательств того, что она была реализована еще. Между тем есть ясное решение для атаки BEAST с Tomcat 6? Мы запускаем Tomcat 6.0.35 и JRE 1.6.0_38 и не выполняем проверки соответствия Trustwave и SSL Labs (https://www.ssllabs.com/ssltest/). –
Последнее обновление ошибки с января 2013 года говорит: [Исправлено в Tomcat 6.0.x. Будет в Tomcat 6.0.37.] (Https://issues.apache.org/bugzilla/show_bug.cgi?id=53481#c7) –
Теперь изменение находится в tomcat 6.x и 7.x. Вы можете увидеть параметр конфигурации (SSLHonorCipherOrder) в документах: http://tomcat.apache.org/tomcat-7.0-doc/config/http.html Однако я просто включил эту опцию (добавил ее к моему коннектору на сервере. xml, с tomcat 7.0.40), и он НЕ удалял сообщение об ошибке атаки зверя с https://www.ssllabs.com/ssltest – Keith