Как отключить слабые шифры и SSL 2.0 в Tomcat

Для того, чтобы сайты электронной коммерции могли принимать кредитные карты, Payment Card Industry Data Security Standard (PCI-DSS) обязывает их «использовать достаточную криптографию и протоколы безопасности, такие как SSL / TLS или IPSEC для обеспечения защиты чувствительных данных, таких как номера кредитных карт, которые передаются по открытым сетям». Вы обязательно должны использовать SSL сертификат, если пользователи сайта отправляют данные кредитных карт или другую конфиденциальную информацию на ваш сервер. Так же вам необходимо отключить слабые шифры, иначе вы не сможете пройти PCI сканирование.

Tomcat по умолчанию имеет несколько слабых шифров. Если вы используете сервер Tomcat версии 4.1.32 или более новой, вы сможете отключить слабые шифры и SSL 2.0 следуя приведенным указаниям. Но сначала следует проверить, включен ли в вашей версии SSL 2.0 и слабые шифры. Вы можете сделать это используя команды OpenSSL или просто введя имя своего домена на https://www.ssllabs.com/ssldb/index.html

Далее, откройте файл server.xml и добавте следующий текст к вашему SSL соединению:

sslProtocol=”SSLv3″ ciphers=»SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA»

Как пример, в завершении это должно выглядеть приблизительно так:

<connector port=»443″ maxhttpheadersize=»8192″ address=»127.0.0.1″ enablelookups=»false» disableuploadtimeout=»true» acceptCount=»100″ scheme=»https» secure=»true» clientAuth=»false» sslProtocol=»SSL» ciphers=»SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA» keystoreFile=»mydomain.key» keystorePass=»password» truststoreFile=»mytruststore.truststore» truststorePass=»password»/>;

Комментарии запрещены.