我们使用本地Apache可移植运行时SSL连接器在Tomcat 6上运行Web应用程序,以提供SSL连接。我们如何配置服务器以防止BEAST攻击?不能在Tomcat配置中配置建议的解决方案(1),因为它不允许设置SSLHonorCipherOrder参数(2)。
目前,我们仅使用设置SSLCipherSuite =“ ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM”,但使用SSL服务器测试的扫描显示服务器仍在运行容易受到BEAST攻击。我知道我们可以通过在Tomcat上安装Apache代理来解决此问题,但是这种更改在短期内无法实现。我也可以打补丁Tomcat以添加支持,但这会阻止违反策略的Tomcat软件包的自动更新。
1:https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
2:http://tomcat.apache.org/tomcat-6.0-doc/apr.html
最佳答案
解决此问题的逻辑方法是让Tomcat实现CipherOrder指令,正如此BugZilla链接所示,该指令似乎已集成在Tomcat 7.0.30及更高版本中。我最有兴趣尝试一下,尝试后会反馈。
https://issues.apache.org/bugzilla/show_bug.cgi?id=53481
关于tomcat - 保护tomcat 4月6日SSL免受BEAST攻击,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/10139891/