所有
我正在修复代码中的安全漏洞问题(请参阅下面的链接)。 http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
在我们使用以下ssl上下文进行安全通信的地方
SSLContext.getInstance(" TLS")(package:javax.net.ssl)。
我知道getInstance需要一个协议字符串值,但问题是" TLS"按价值表示,即与TLS1.0相同吗?同样地," SSL"表示按值,是否与" SSLv3"?相同
有没有办法提及" TLS_FALLBACK_SCSV"在创建上下文以修复此漏洞的同时?我们想到的一种方法是禁用ssl并仅使用TLS1.2,但为了使其与病毒兼容,有没有办法指定文章中提到的后退选项,如果在创建时可以将此选项传递给api调用ssl context?
谢谢! Santhosh
答案 0 :(得分:1)
我一直在研究同样的问题。简而言之,SSLContext.getInstance("TLS")不会从支持的协议列表中排除SSLv3。您必须使用setEnabledProtocols()或SSLServerSocket上的SSLSocket方法(以您的用例为准)。