Um meine Thrift Server gegen die SSLv3 vulnerability vor kurzem entdeckt zu sichern, ich ausdrücklich festgestellt, welche Protokolle für den Server-Socket aktiviert werden soll:einen Thrift Server Aginst die Verwundbarkeit POODLE SSL Sicherung
TServerSocket socket = TSSLTransportFactory.getServerSocket(...);
SSLServerSocket sslServerSocket = (SSLServerSocket) socket.getServerSocket;
sslServerSocket.setEnabledProtocols(new String[] {"TLSv1.1", "TLSv1.2"});
jedoch, wenn auch ein selbst überprüfen mit Hilfe der TestSSLServer Listen nur TLSv1.1 und TLSv1.2, bin ich noch in der Lage mit OpenSSL mit SSLv3 verbinden:
openssl s_client -connect localhost:1111 -ssl3
Wie kann ich ganz deaktivieren SSLv3 auf Thrift, so dass es während des SSL-Handshake nicht bereits ?
Was gibt Ihnen sslServerSocket.getEnabledProtocols() und sslServerSocket.getSupportedProtocols() vor und nach der Aktivierung von Protokollen? – martiner
BEFORE_ENABLED: SSLv2Hello, SSLv3, TLSv1, TLSv1.1, TLSv1.2 | BEFORE_SUPPORTED: SSLv2Hello, SSLv3, TLSv1, TLSv1.1, TLSv1.2 | AFTER_ENABLED: TLSv1.1, TLSv1.2 | AFTER_SUPPORTED: SSLv2Hello, SSLv3, TLSv1, TLSv1.1, TLSv1.2 – semberal
Ist es nicht möglich, die SSLContext-Instanz ohne SSL einzurichten? Weitere Informationen finden Sie unter http://download.java.net/jdk7/archive/b124/docs/technotes/guides/security/jsse/JSSERefGuide.html. – chipiik