使用Spring-Boot和内嵌Tomcat禁用SSLv3

3

3

我正在使用 Spring-Boot-1.1.8 版本，并使用以下属性配置了 SSL

server.ssl.key-alias=XXX
server.ssl.key-password=XXX
server.ssl.key-store=classpath:XXX
server.ssl.key-store-provider=XXX
server.ssl.key-store-type=XXX.jks
server.ssl.protocol=TLS

尽管SSL协议是TLS，但似乎启用了SSLv3。这是一个漏洞吗，还是我遗漏了什么？

提醒一下，使用SSLv3可能会受到Poodle漏洞的影响。

- Modi

1个回答

2

2

如果您的目标是禁用SSLv3，则最简单的选项是使用默认情况下禁用它的Tomcat 7.0.57。假设您正在使用Maven，则只需在pom中将tomcat.version属性设置为7.0.57即可。

即将发布的Spring Boot 1.1.10版本默认使用7.0.57，因此一旦发布，您将不再需要设置Tomcat版本。

- Andy Wilkinson

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接