Es allí cualquier exclusión de la lista de disponibles que sólo desactiva SSLv3 sistemas de cifrado no están TLSv1/2.

He muelle 8, y la actualización a 9 no es una opción ahora. Mi actual jetty-ssl.xml se ve de la siguiente manera

<Configure id="Server" class="org.eclipse.jetty.server.Server">
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg>
<New class="org.eclipse.jetty.http.ssl.SslContextFactory">
.........
</New>
</Arg>
<Set name="ExcludeCipherSuites">
<Array type="java.lang.String">             
<Item>SSL_RSA_WITH_NULL_MD5</Item>
<Item>SSL_RSA_WITH_NULL_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5</Item>
<Item>SSL_RSA_WITH_IDEA_CBC_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
<Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_NULL_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_RC4_128_SHA</Item>
<Item>SSL_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_RSA_WITH_AES_128_CBC_SHA</Item>   
</Array>
</Set>
</New>
</Arg>
</Call>

aún cuando ejecuto «sslscan –no-no –ssl3 localhost:443» me

    Supported Server Cipher(s):
Accepted  SSLv3  128 bits  DHE-RSA-AES128-SHA
Accepted  SSLv3  128 bits  AES128-SHA
Prefered Server Cipher(s):
SSLv3  128 bits  DHE-RSA-AES128-SHA
  • Abrió de un nuevo error en Jetty tener SSLv3 desactivado por defecto de partida en el Muelle 9.3 – bugs.eclipse.org/447381
InformationsquelleAutor Atul Soman | 2014-10-15

3 Comentarios

  1. 13

    Tuve que deshabilitar SSLv3 en una aplicación donde integramos Jetty código fuente. Basado en lo que he cambiado en el código, me imagino que usted agregue el siguiente:

    <Set name="ExcludeProtocols">
    <Array type="java.lang.String">             
    <Item>SSLv3</Item>
    </Array>
    </Set>

    Darle un tiro y quiero saber si funciona para usted.

    • por favor, actualice su respuesta para indicar que esta configuración es para el SslContextFactory, y las obras de Jetty 7/8/9 (sólo probado los 3, y funciona)
    • Esto funcionó, estoy aceptando esta respuesta. Gracias !
  2. 4

    Para ampliar @Lars respuesta ..

    Para Jetty 7, Embarcadero, 8, y Jetty 9 tiene que excluir el protocolo SSLv3 (no cifrado) en cualquier SslContextFactory utiliza para configurar SSL Conector de base.

    Para una Distribución Jetty

    Editar el ${jetty.home}/etc/jetty-ssl.xml y añadir el siguiente fragmento XML.

    <Set name="ExcludeProtocols">
    <Array type="java.lang.String">
    <Item>SSLv3</Item>
    </Array>
    </Set>

    Dentro de cualquier elemento que gestiona un org.eclipse.jetty.http.ssl.SslContextFactory

    Para Jetty Incrustado

    Cualquier SslContextFactory crear/administrar para su SSL basado en Conectores sólo se necesita para establecer la exclusión de los protocolos.

        SslContextFactory sslContextFactory = new SslContextFactory();
    sslContextFactory.addExcludeProtocols("SSLv3");
    sslContextFactory.setKeyStorePath(...);
    ...
    • Todavía estoy atascado con Jetty v6 (debido a que todavía está basado en Eclipse 3.7), ¿cómo puedo hacer esto? sslContextFactory.addExcludeProtocols() no existe…
    • Jetty 6 no tiene ese apoyo. Lo siento. Usted tendrá que hacer su propia SslSocketConnector. Véase Karl respuesta en otra pregunta para algunos ejemplo codebase – stackoverflow.com/a/19937704/775715 – por cierto, Embarcadero, 6 de EOL en el 2010, NO tiene ninguna VULNERABILIDAD CORRECCIONES desde entonces. Caniche es sólo 1 de cientos de vulnerabilidades es que faltan correcciones para (si se utiliza un Embarcadero de Windows que se multiplican por 3). Es altamente recomendable actualizar, o no ejecutar Muelle 6 en la internet pública.
    • Aquí está el Eclipse lado de seguimiento de fallos de la actualización de Eclipse propio Embarcadero 9 – bugs.eclipse.org/401784
    • Sí, sé que es obsoleta, por desgracia, la actualización de Eclipse es una importante pieza de trabajo y no es una opción para el software que ya está entregado a un número de Clientes. Hemos encontrado una solución mediante el registro de una LivecycleListener en el SslSocketConnector, y acceso a, y el ajuste de la recién creada ServerSocket allí.
  3. 0

    He configurado Jetty 8.1 whitout ssl3. Usted puede ver la estructura completa de jetty-ssl.xml.

     
    <Configurar id="Server" clase="org.eclipse.jetty.servidor.Servidor"> 
    <nombre="addConnector"> 
    <Arg> 
    <Nueva clase="org.eclipse.jetty.servidor.ssl.SslSelectChannelConnector"> 
    <Arg> 
    <Nueva clase="org.eclipse.jetty.http.ssl.SslContextFactory"> 
    <Set nombre="keyStore">... </Set> 
    <Set nombre="keyStorePassword">... </Set> 
    <Set nombre="keyManagerPassword">... </Set> 
    <Set nombre="almacén de confianza">... </Set> 
    <Set nombre="trustStorePassword>... </Set 
    <Set nombre="ExcludeProtocols"> 
    <Array type="java.lang.Cadena"> 
    <Item>SSLv3 </Item> 
    </Array> 
    </Set> 
    </Nuevo> 
    </Arg> 
    <Set nombre="puerto">... </Set> 
    <Set nombre="maxIdleTime">... </Set> 
    </Nuevo> 
    </Arg> 
    </Call> 
    </Configure> 
    

Dejar respuesta

Please enter your comment!
Please enter your name here