Tomcat的APR連接器和貴賓

Question

我有一對夫婦的運行Tomcat 7.0與APR + SSL連接器的生產服務器和因爲最近獅子狗攻擊我被要求在一些服務器的完全禁用SSLv3的。我通過Tomcat Connectors文檔挖掘，並根據它，設置的SSLProtocol到TLSv1（而不是all應足以禁用SSLv3和執行的TLSv1。

的問題是，TLSv1似乎啓用TLS，但不使服務器垃圾的SSLv3 。我使用openssl s_client -connect -ssl3進行了測試，並驗證了舊版SSLv3連接仍然可以被接受，所以我想知道這是Tomcat中的錯誤，還是有其他需要設置爲禁用SSLv3的內容。

更新：我現在禁用了APR並恢復爲使用帶有的NIO連接器和那工作正常。這個問題似乎正在影響APR。作爲參考，這是我的新連接器配置：

<Connector port="443" 
    protocol="org.apache.coyote.http11.Http11NioProtocol" 
    SSLEnabled="true" 
    maxThreads="500" 
    scheme="https" 
    secure="true" 
    clientAuth="false" 
    keystoreFile="/etc/keys/***.ks" 
    keystorePass="****" 
    sslProtocol = "TLS" 
    sslEnabledProtocols="TLSv1.1,TLSv1.2" 
/> 

Answer 1

看來，使用與TLS的APR連接器時完全禁用SSL的能力仍處於進展中的工作。查看此鏈接以獲取更多信息：https://issues.apache.org/bugzilla/show_bug.cgi?id=53952#c30，特別是評論＃37。

的好消息是，它會被固定在Tomcat和Tomcat本土的下一個版本。見註釋＃39：

Fixed in tcnative-trunk in r1632593 and tcnative-1.1.x in r1632595. 
Will be in tcnative 1.1.32. 

和評論＃40：

Fixed in Tomcat-trunk in r1632604. Will be in Tomcat 8.0.15. 
Fixed in Tomcat 7 in r1632606. Will be in Tomcat 7.0.57.