考虑到POODLE攻击,我想在IBM WebSphere 6上部署的Web应用程序中禁用SSLv3。有几个问题我无法解决:
1. 如何在 WAS 6.0 和 6.1 中禁用 SSL 并启用 TLS?
2. 当客户端在浏览器中点击我的应用程序的 url 并且浏览器支持 SSL 时,请求将使用 SSL 发起。是否存在最终用户将获得握手异常的可能性,因为 WAS 6 将禁用 SSL?
3. 是否需要更改应用程序配置或更改 Web 服务器属性会有所帮助?
您无需更改应用程序中的任何内容。已经为最新的 WebSphere 版本提供了修订包 - 请查看此页面 SSLv3 中的漏洞会影响 IBM WebSphere Application Server
对于 V6.1.0.0 到 6.1.0.47:
- 应用临时修订PI28796:将升级到 IBM Java SDK V5.0 Service Refresh 16 FP7 + APAR IV66111以更改为 默认情况下禁用 SSLv3。
6.0 太旧了,我不记得它是否支持 TLS。您必须在管理控制台的某处挖掘SSL设置(确切路径可能不同)Security > SSL > SSL_configuration_name并将协议更改为TLS。
如果您通过 Web 服务器(Apache 或 IHS)访问 WebSphere,则需要在 Web 服务器而不是应用程序服务器上禁用 SSLv3。有关详细信息,请参阅 SSLv3 中的漏洞影响 IBM HTTP 服务器
将以下指令添加到 httpd.conf 文件中以禁用 SSLv3 和 SSLv2 用于包含"SSLEnable"的每个上下文:
# 为 CVE-2014-3566
禁用 SSLv3 # 默认情况下,SSLv2 在 V8R0 及更高版本中处于禁用状态,在典型的 V7
中处于禁用状态 # 及更早版本的配置在 SSLv3 密码
时隐式禁用 # 配置了 SSLCipherSpec。
SSLProtocolDisable SSLv3 SSLv2停止并重新启动 IHS 以使更改生效。