因为ssl3.0有漏洞,所以尽量使用TLSv1.2。
漏洞危害:
HTTPS安全传输通道不可信。
修复建议:
禁止开启SSL3,除非客户端版本比较低,否则应只开启TLS1.2,其他协议均应关闭。
开启TLS1.2 支持
解决:
tomcat的server.xml :
引用
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
注意:jdk7才支持tls1.2,tomcat7.0.56(65?)才默认禁止ssl3.0
附录:参考了 http://blog.csdn.net/jackpk/article/details/47979643
请参考 http://www.freebuf.com/articles/network/62442.html,
免费ssl牢固性测试网站 https://www.ssllabs.com/ssltest/index.html