考虑到POODLE攻击,我想在IBM WebSphere 6上部署的Web应用程序中禁用SSLv3。我无法解决一些问题:
1.如何在WAS 6.0和6.1中禁用SSL并启用TLS?
2.当客户端在浏览器中访问我的应用程序的URL并且浏览器支持SSL时,将使用SSL启动该请求。是否存在这样的可能性,即最终用户将获得握手异常,因为WAS 6将禁用SSL?
3.应用程序配置是否需要更改或更改Web服务器属性是否有帮助?
答案 0 :(得分:0)
您不需要更改应用程序中的任何内容。 已经为最新的WebSphere版本提供了fixpack - 请查看此页面Vulnerability in SSLv3 affects IBM WebSphere Application Server
对于V6.1.0.0到6.1.0.47:
- 应用临时修订PI28796:将您升级到IBM Java SDK版本5.0服务刷新16修订包7 + APAR IV66111以进行更改 默认情况下禁用SSLv3。
6.0太老了,我不记得它是否支持TLS。您必须在SSL设置中的某个位置挖掘管理控制台(确切路径可能不同)Security > SSL > SSL_configuration_name并将协议更改为TLS。
如果通过Web服务器(Apache或IHS)访问WebSphere,则需要在Web服务器而不是应用程序服务器上禁用SSLv3。有关详细信息,请参阅Vulnerability in SSLv3 affects IBM HTTP Server
将以下指令添加到httpd.conf文件以禁用SSLv3 和包含" SSLEnable"的每个上下文的SSLv2:
#禁用CVE-2014-3566的SSLv3
#默认情况下,在V8R0及更高版本中禁用SSLv2,在典型的V7中禁用 当SSLv3加密时,#和早期配置隐式禁用 #配置了SSLCipherSpec SSLProtocolDisable SSLv3 SSLv2停止并重新启动IHS以使更改生效。