Конфигурация SSL для Tomcat Alpha

Question

У меня есть файл CA (PFX), корневой сертификат и промежуточный сертификат от AlphaSSL. Я просто помещаю PFX в местоположение и сконфигурировал Connector в tomcat server.XML с keystoreFile, keystorePass, keystoreType (как PKC12).

Он отлично работает в браузере рабочего стола (кроме одного экземпляра Firefox), и он не работает в браузере Chrome Chrome. Интересно, что он работает в браузере Opera Mini Android.

Я пробовал свой уровень лучше всего настроить корневые и промежуточные сертификаты, выполнив несколько шагов в Google, но не повезло.

Просьба помочь.

Answer 1

Запуск вашего сайта с помощью SSL-теста SSL Labs, я вижу, что ваша цепочка сертификатов неполна. Сертификат для «AlphaSSL CA - SHA256 - G2» не отправляется сервером вместе с сертификатом сервера. Импортируйте этот сертификат в хранилище ключей для перезапуска вашего экземпляра Tomcat. Это должно устранить некоторые из ваших ошибок.

Ваш сайт не поддерживает SSLv3 (что обычно хорошо). Если у вас есть клиенты, которые абсолютно требуют SSLv3, вам придется снова включить его. Я не знаю, какую версию Android Chrome вы используете, но если она достаточно старая, для нее может потребоваться SSLv3. Если это произойдет, обновите это устройство или выбросите его: оно бесполезно в текущем состоянии. Вы можете протестировать своего клиента, посетив Qualys's Client Test с этого устройства, чтобы увидеть его возможности.

Ваш сайт имеет несколько настроенных шифров (неэллиптическая кривая DHE), которые слабы и не защищают ваших клиентов. Вы должны отключить эти шифры или, еще лучше, обновить версию Java, запущенную под Tomcat: некоторые (все?) Этих шифров были отключены в последних версиях Java.

Кроме этого, все выглядит хорошо. Я думаю, что это скорее проблема клиента, чем серверная.