Internet explorer 狮子狗漏洞、JBoss和IE_Internet Explorer_Ssl_Jboss_Poodle Attack

Internet explorer 狮子狗漏洞、JBoss和IE

internet-explorer ssl jboss

Internet explorer 狮子狗漏洞、JBoss和IE,internet-explorer,ssl,jboss,poodle-attack,Internet Explorer,Ssl,Jboss,Poodle Attack,所以，我有JBoss 5.1.0 GA，我在这里读到了我需要如何禁用SSLv3：这里没有提到的是，我还需要去掉所有支持返回到SSLv3的密码。当我这么做的时候，我在这个网站上得到了一个“绿色复选标记” 这基本上是确认我已经保护了我的服务器，不再支持SSLv3，但现在我无法使用IE（所有版本的IE）访问我的网站。因为我在server.xml配置的密码列表中只有4个密码，所以我的目标是找到更多的密码添加到此列表中，以使IE正常工作。我添加了50多个密码，但IE仍然无法加载我的网站。下面是我到目

所以，我有JBoss 5.1.0 GA，我在这里读到了我需要如何禁用SSLv3：

这里没有提到的是，我还需要去掉所有支持返回到SSLv3的密码。当我这么做的时候，我在这个网站上得到了一个“绿色复选标记”

这基本上是确认我已经保护了我的服务器，不再支持SSLv3，但现在我无法使用IE（所有版本的IE）访问我的网站。因为我在server.xml配置的密码列表中只有4个密码，所以我的目标是找到更多的密码添加到此列表中，以使IE正常工作。我添加了50多个密码，但IE仍然无法加载我的网站。下面是我到目前为止使用的所有密码的列表（我从这里得到了列表（）：

TLS_DH_DSS_与_Camelia_128_CBC_SHA， TLS_DH_DSS_和_茶花_256_CBC_SHA， TLS_DH_RSA_和_CAMELLIA_128_CBC_SHA， TLS_DH_RSA_与茶花_256_CBC_SHA， TLS_DHE_DSS_和_Camelia_128_CBC_SHA， TLS_DHE_DSS_与_茶花_256_CBC_SHA， TLS_DHE_RSA_和_CAMELLIA_128_CBC_SHA， TLS_DHE_RSA_和_CAMELLIA_256_CBC_SHA， TLS_DH_DSS_与_SEED_CBC_SHA， TLS_DH_RSA_与_SEED_CBC_SHA，带种子的决策支持系统CBC SHA， TLS_DHE_RSA_与_SEED_CBC_SHA， TLS_RSA_和_NULL_MD5， TLS_RSA_与_NULL_SHA， TLS_RSA_导出_RC4_40_MD5， TLS_RSA_和RC4_128_MD5， TLS_RSA_与_RC4_128_SHA， TLS_RSA_导出_RC2_CBC_40_MD5， TLS_RSA_与_IDEA_CBC_SHA， TLS_RSA_导出_与_DES40_CBC_SHA， TLS_RSA_与CBC_SHA， TLS_RSA_与CBC_SHA合作， TLS_DH_DSS_导出_与_DES40_CBC_SHA， TLS_DH_DSS_与CBC_SHA， TLS_DH_DSS_与CBC_SHA合作， TLS_DH_RSA_导出_与_DES40_CBC_SHA， TLS_DH_RSA_与CBC_SHA， TLS_DH_RSA_与CBC_SHA合作， TLS_DHE_DSS_导出_与_DES40_CBC_SHA，与CBC SHA合作的决策支持系统，与CBC SHA合作的决策支持系统， TLS_DHE_RSA_导出_与_DES40_CBC_SHA，与CBC SHA合作的TLS_DHE_RSA_，与CBC SHA合作的TLS_DHE_RSA_， TLS_DH_DSS_与_AES_128_CBC_SHA， TLS_DH_DSS_与AES_256_CBC_SHA， TLS_DH_RSA_与_AES_128_CBC_SHA， TLS_DH_RSA_与AES_256_CBC_SHA， TLS_DHE_DSS_与_AES_128_CBC_SHA， TLS_DHE_DSS_与_AES_256_CBC_SHA， TLS_DHE_RSA_与_AES_128_CBC_SHA， TLS_DHE_RSA_与_AES_256_CBC_SHA， TLS_KRB5_和RC4_128_MD5， TLS_KRB5_与_RC4_128_SHA

这些密码都不适用于IE，这意味着当我使用IE接近我的服务器时，我会得到“此页面无法显示”

有人能帮我吗？有没有一个密码我可以使用，它不会在我的服务器上打开SSLv3，也会与IE一起工作

更新：如果我实施RedHat建议的解决方案（即将sslProtocols更改为“TLSv1、TLSv1.1、TLSv1.2”）：

启动JBoss时，我在说“TLSv1，TLSv1.1，TLSv1.2 SSLContext不可用”时出错。这意味着该字符串无效，我必须只使用其中一个协议。好的，我将使用最安全的协议：“TLS1.2”

另一个问题是，在RedHat解决方案中，没有提及密码。我的印象是不再需要“ciphers”元素，因此我将其从server.xml中删除，将sslProtocols值更改为“TLSv1.2”，并扫描我的服务器。它仍然易受攻击

我尝试设置TLSv1.1和TLSv1。它不起作用。sslProtocols元素似乎对服务器正在使用的协议没有任何影响，这意味着只有ciphers元素有一些值

好吧，那好吧，我说……我会找到一些TLSv1.2特定的密码，然后我会将其添加到那里，从而严密保护我的服务器。我从链接中指定的列表中添加了所有TLSv1.2密码。扫描了我的服务器，得到了一个“绿色复选标记”，一切正常且安全……试图通过任何浏览器接近我的服务器……“页面无法打开”。 Chrome:ERR\u SSL\u VERSION\u或\u CIPHER\u不匹配 Firefox:ssl\u错误\u无\u密码\u重叠 IE：页面无法打开（没有礼貌地告诉我原因）怎么回事？！我现在该怎么办

好的，我将从列表的底部向上添加密码，跳过SSLv3密码。我得到了这个（非常短的）列表： TLS_ECDHE_RSA_与_AES_128_CBC_SHA（即仅适用于此密码） TLS_DHE_RSA_和_AES_128_CBC_SHA（FF、Chrome和Safari使用此密码） TLS_DHE_RSA_和_AES_256_CBC_SHA（FF、Chrome和Safari使用此密码）所有浏览器都可以工作，一切看起来都正常。 ->绿色对勾，一切都好！为了安全起见，让我们尝试更多的在线扫描仪。。。 ->不脆弱，太好了！ ->易受攻击！F**K

终极扫描：ssllabs.com…易受攻击

我在这里疯了…请帮帮我

更新2:在花了两天的时间试图找出问题所在之后……RedHat建议的修复包含sslProtocol***s***元素，而不是sslProtocol（注意末尾没有“s”），我正在使用它，这在JbossWeb官方文档中有描述

我刚刚添加了sslProtocols=“TLSv1，TLSv1.1，TLSv1.2”并删除了“ciphers”元素，一切正常。

您只需将sslProtocols设置为tls 1.0，1.1和1.2即可防止贵宾犬攻击，如RedHat文档中所述（现在看来还可以，他们已经更新了几次，因为房产的价值不正确）

事实上，ssl3.0、tls1.0和tls1.1密码基本相同，因此删除ssl3.0密码实际上只剩下1.2个新密码（GMC密码）。POODLE攻击实际上是针对ssl3和CBC密码的组合，禁用ssl3足以防止问题

您输入的密码列表包含一些非常糟糕的密码（导出、rc2…）

您可以查看Mozilla服务器端ssl配置建议，了解可以使用的密码：

查看服务器的安全级别以及它将能够访问的浏览器