Ako zakázať slabé šifrovanie a SSL 2.0 v Tomcat

Ako zakázať slabé šifrovanie a SSL 2.0 v Tomcat

K tomu, aby obchodníci zvládli kreditné karty, „Payment Card Industry Data Security Standard“ (PCI-DSS) vyžaduje, aby webové stránky,  ”používali silné šifrovanie a bezpečnostné protokoly ako SSL / TLS alebo IPSec pre ochranu citlivých dát držiteľov kariet počas prenosu cez otvorené, verejné siete.” To znamená, že musíte použiť SSL na svojich webových stránkach, ak vaši návštevníci prenášajú ich čísla kreditných kariet na váš server. Tiež je potrebné zakázať slabé šifry, ináč  neprejdete “PCI Compliance scan”.

Tomcat má niekoľko slabých šifier v predvolenom nastavení povolené. Ak máte server Tomcat (verzia 4.1.32 alebo novšiu), môžete zakázať SSL 2.0 a zakázať slabé šifry  podľa nasledujúcich pokynov. Najprv sa uistite, že máte povolené slabé šifry alebo SSL 2.0. Môžete to urobiť pomocou príkazu „Open SSL“, alebo len zadaním vášho verejného názvu domény na https://www.ssllabs.com/ssldb/index.html

Ďalej, otvorte súbor „server.xml „pridajte nasledujúce do SSL pripojenia:

sslProtocol=”SSLv3″ ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"

Napríklad, dokončený konektor by  vyzeral takto:

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" enablelookups="false" disableuploadtimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="SSL" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" keystoreFile="mydomain.key" keystorePass="password" truststoreFile="mytruststore.truststore" truststorePass="password"/>;

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

*

Môžete použiť tieto HTML značky a atribúty: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>