关于POODLE漏洞,如果我理解正确,它要求客户端在与服务器使用高版本协议建立安全通道失败时,自动降级TLS协议至SSLv3。
常见的Java HTTP客户端库,特别是javax.net.ssl.HttpsURLConnection和Apache HttpClient,在无法建立TLS会话时是否会自动降级TLS协议?如果不会,那么我的理解是它们免疫POODLE攻击,除非(a)服务器仅支持SSLv3,或者(b)较高级别的逻辑执行降级操作。
我正在寻找类似http://blog.hagander.net/archives/222-A-few-short-notes-about-PostgreSQL-and-POODLE.html的Java客户端解释。