Последние версии Chrome и Firefox отключили SSLv3.0 по умолчанию, из-за POODLE vulnerability. Это приводит к следующей ошибке при попытке открыть сайт я поставил (и который работал отлично):Как исправить «ssl_error_no_cypher_overlap» на сервере Tomcat 7?
С Chrome:
A secure connection cannot be established because this site uses an unsupported protocol.
Error code: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
С Firefox:
Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)
I исследовали этот вопрос with Chrome, Firefox, Tomcat и more Tomcat docs. Я понимаю проблему, но я не могу найти документацию, чтобы настроить Tomcat 7 на использование только шифров и протоколов TLS, которые теперь безопасны. Я не уверен, что мне нужно создать новую cert/keypair, изменить файл server.xml или установить новую версию Tomcat или что-то еще. Я даже не уверен, какие версии шифрования/протокола теперь считаются «приемлемыми» этими браузерами. Может ли кто-нибудь указать мне на документы или пример для этого?
Я использую OpenJDK 1.7 на Ubuntu 14.04 с Tomcat 7.
Вот мой серт файл (отредактированный):
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: something
Creation date: May 4, 2013
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=something, OU=something, O=something, L=something, ST=something, C=something
Issuer: CN=something, OU=something, O=something, L=something, ST=something, C=something
Serial number: ...
Valid from: Sat May 04 17:28:21 MST 2013 until: Tue May 02 17:28:21 MST 2023
Certificate fingerprints:
MD5: ...
SHA1: ...
SHA256: ...
Signature algorithm name: SHA1withDSA
Version: 3
Вот мой server.xml
вход для поддержки HTTPS:
<Connector port="8484" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="/path/mykeystore"
keystorePass="password"
clientAuth="false"
sslProtocol="TLS"
sslEnabledProtocols="TLS" />
Благодарим за отзыв - но каковы фактические значения, необходимые для каждого поля? Например, для 'sslEnabledProtocols' я пробовал« TLS »,« TLSv1 »,« TLSv1.1 »,« TLSv1.2 »и« TLSv1.1, TLSv1.2 »без успеха. Я не получаю сообщений об ошибках в журнале Tomcat, но браузер (ы) по-прежнему не подключается. – user3120173
Попробуйте 'sslEnabledProtocols =" TLSv1.2, TLSv1.1, TLSv1 "', как описано в https://wiki.apache.org/tomcat/Security/POODLE –
Я действительно закончил создание нового самозаверяющего сертификата и решил проблема. Я понятия не имею, почему старый перестал работать, но спасибо, я правильно поменяю ваш ответ. – user3120173