首页 » 应用安全 » Web 服务器 » Tomcat » 正文

Tomcat SSL 漏洞加固

Tomcat SSL协议相关设置均位于下面的文件:

# %TOMCAT_HOME% 为 Tomcat 的主目录
%TOMCAT_HOME%/conf/server.xml 

1. 升级 Tomcat

将 Tomcat 升级到当前版本的最新小版本。

例如:版本号为 6.0.32,则建议升级到 6.0 的最新版本。

升级下载站点:

http://tomcat.apache.org/ 

2. 关闭 Renegotiation(重协商)机制

将 Connector 的 allowUnsafeLegacyRenegotiation 属性设置为 false。

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS" allowUnsafeLegacyRenegotiation="false" />

3. 关闭不安全的协议

SSL 2.0、SSL 3.0 均为已经过时的 SSL 协议,而且目前已知存在多个安全漏洞,建议在服务器上禁用这些不全的协议,改用新的 TLS 协议。

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1" />

发表评论