我们在Tomcat 6上运行一个Web应用程序,使用本地Apache Portable Runtime SSL连接器提供SSL连接。如何配置服务器以防范BEAST攻击?建议的解决方案(1)无法在Tomcat配置中进行配置,因为它不允许设置SSLHonorCipherOrder参数(2)。
我们目前仅使用设置SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM",但使用SSL服务器测试进行扫描后,服务器仍然容易受到BEAST攻击。我知道我们可以通过在Tomcat之前增加Apache代理来解决这个问题,但这个改变对于短期实施来说过于侵入性。我也可以修补Tomcat以添加支持,但这将阻止Tomcat包的自动更新,这与政策相悖。
1:https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls 2:{{链接1:http://tomcat.apache.org/tomcat-6.0-doc/apr.html}}
我们目前仅使用设置SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM",但使用SSL服务器测试进行扫描后,服务器仍然容易受到BEAST攻击。我知道我们可以通过在Tomcat之前增加Apache代理来解决这个问题,但这个改变对于短期实施来说过于侵入性。我也可以修补Tomcat以添加支持,但这将阻止Tomcat包的自动更新,这与政策相悖。
1:https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls 2:{{链接1:http://tomcat.apache.org/tomcat-6.0-doc/apr.html}}