7
由於POODLE vulnerability的原因,Chrome和Firefox的最新版本默認已禁用SSLv3.0。這導致了以下錯誤,當我嘗試打開我已成立了一個網站(和其工作正常):如何修復Tomcat 7服務器上的「ssl_error_no_cypher_overlap」?
有了Chrome:
A secure connection cannot be established because this site uses an unsupported protocol.
Error code: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
與Firefox:
Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)
我已經研究過這個問題with Chrome,Firefox,Tomcat和more Tomcat docs。我理解這個問題,但我找不到將Tomcat 7配置爲僅使用現在安全的TLS密碼和協議的文檔。我不確定是否需要創建新的證書/密鑰對,更改我的server.xml或安裝新版本的Tomcat,或者什麼。我甚至不確定現在哪些版本的密碼/協議被這些瀏覽器認爲是「可接受的」。任何人都可以指向我的文檔或示例設置?
我使用的OpenJDK 1.7在Ubuntu 14.04使用Tomcat 7
這是我的證書文件(節錄):
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: something
Creation date: May 4, 2013
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=something, OU=something, O=something, L=something, ST=something, C=something
Issuer: CN=something, OU=something, O=something, L=something, ST=something, C=something
Serial number: ...
Valid from: Sat May 04 17:28:21 MST 2013 until: Tue May 02 17:28:21 MST 2023
Certificate fingerprints:
MD5: ...
SHA1: ...
SHA256: ...
Signature algorithm name: SHA1withDSA
Version: 3
這裏是我的server.xml條目HTTPS支持:
<Connector port="8484" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="/path/mykeystore"
keystorePass="password"
clientAuth="false"
sslProtocol="TLS"
sslEnabledProtocols="TLS" />
感謝您的回覆 - 但是,每個字段所需的實際值是多少?例如,對於'sslEnabledProtocols'我試過了「TLS」,「TLSv1」,「TLSv1.1」,「TLSv1.2」和「TLSv1.1,TLSv1.2」,但沒有成功。我沒有在Tomcat日誌中收到任何錯誤消息,但瀏覽器仍然無法連接。 – user3120173 2015-04-05 01:12:55
嘗試'sslEnabledProtocols =「TLSv1.2,TLSv1.1,TLSv1」'如https://wiki.apache.org/tomcat/Security/POODLE – 2015-04-05 03:36:13
中所述我確實生成了一個新的自簽名證書,並解決了問題。我不知道爲什麼老人停止工作,但謝謝你,我正確地標記你的答案。 – user3120173 2015-04-05 18:30:30