（轉載）Tomcat禁用SSLv3和RC4算法

1.禁用SSLv3（SSL 3.0 POODLE攻擊信息泄露漏洞(CVE-2014-3566)【原理掃描】）

編緝$CATALINA_HOEM/conf/server.xml配置文件，找到https端口配置處，7.0及以前版本默認應以下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"/>

修改以下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"/>

8.5及以後版本默認應以下：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

修改以下：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" >
    </Connector>

也就是先刪除<SSLHostConfig>標籤及其子標籤，而後再和7.0以前版本同樣追加。

若是不刪除<SSLHostConfig>直接追加，啓動會報錯：conf/server.xml: Error at (92, 25) : Multiple SSLHostConfig elements were provided for the host name [_default_]. Host names must be unique.

應該是說有兩個證書的配置入口，8.5版本以後應該是推薦使用<SSLHostConfig>做爲新的證書配置方法。但其實舊的配置方法仍是兼容的，因此咱們這裏直接刪除<SSLHostConfig>，而後再和7.0以前版本同樣追加（下邊的漏洞相似操做）。

嘗試了一下變動爲新的對應屬性並無成功啓動，若是已經在<SSLHostConfig>中配置其餘內容，那隻能本身研究一下該怎麼寫了。

 

2.禁用RC4（SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】）

編緝$CATALINA_HOEM/conf/server.xml配置文件，找到https端口配置處，修改以下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
               ciphers="TLS_ECDHE_RSA_WITAES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>
               

 

說明：

1.RC4與DES/AES同樣是一種對稱加密算法

2.算法的說明，TLS_RSA_WITH_AES_128_CBC_SHA256：TLS--SSL仍是TSL，RSA--所用非對稱加密算法，AES--所用對稱加密算法，128--對稱加密分組長度，CBC--分組加密模式，SHA256--所用完整性驗證算法

 

參考：

https://www.cnblogs.com/lsdb/p/7193291.html

http://www.mamicode.com/info-detail-1340430.html

https://www.chinassl.net/?f=faq&a=view&r=605

http://blog.csdn.net/baidu_18607183/article/details/51593586

https://stackoverflow.com/questions/42135892/tomcat-8-5-server-xml-multiple-sslhostconfig-elements-were-provided-for-the-ho