Disabling SSLv2 & Weak CipherSuites Support in Apache Tomcat

السلام عليكم ورحمة الله وبركاته

نفس الخلل الذي ظهر عندي في خادم Apache من أجل فحص الحصول على PCI Compliance ظهر في خادم Tomcat وهو وجود Weak supported SSL ciphers suites … وبصراحة أنا ما لي خبرة في Tomcat ولهذا كان لازم أبدأ بالقراءة عنه وعن طريقة عمله وإعداداته … والحمد لله بعد القراءة عرفت أين ملفات الإعداد وكيف أقوم بحل المشكلة … الآن كل الذي عليك فعله هو التالي:

أذهب الى المجلد الخاص بملفات Tomcat (سيختلف من توزيعة لأخرى ومن تنصيب لآخر) ومن ثم قم بتحرير ملف الإعدادات الخاص بالخادم:
vim server.xml

وأبحث عن الـ SSL port connector أي الحقول الخاصة بموصل الـ SSL … مثال:
< Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="SSLv3" ciphers="EDH-RSA-DES-CBC3-SHA,DES-CBC3-SHA,DHE-RSA-AES128-SHA,AES128-SHA" keystorePass="KeyStorePassOfYours" keystoreFile="/path2ssl_keystore/ssl/example.com.pem.keystore"/>

قم بتغييرهم ليصبحوا هكذا:

< Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="SSLv3" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" keystorePass="KeyStorePassOfYours" keystoreFile="/path2ssl_keystore/ssl/example.com.pem.keystore"/>

لا تنسى تستبدل التالي:
KeyStorePassOfYours بكلمة السر الخاصة بالـ KeyStore الخاص بك
example.com.pem.keystore بالخاص بالخادم والدومين الخاص بك

بعد ذلك قم بعملية إعادة تشغيل لـ Tomcat:
/etc/init.d/tomcat restart

وإن شاء الله خلاص يكون المشكلة قد حلت … جرب أعمل إعادة فحص على الخادم للتأكد من ذلك …

ملاحظات:
– تأكد بإنك تستعمل OpenSSL وليس JSSE حيث لكل واحد إعدادات مختلفة في Tomcat …
– للفحص راجع المواضيع السابقة مثل Howto Check What SSL Protocol Version & Ciphers a Domain is Using أو قم بزيارة الموقع التالي: ServerSniff للتأكد …

مراجع مفيدة: الأول | الثاني | الثالث | الرابع | الخامس | السادس

بالتوفيق لكم جميعاً …

About [email protected]

[Between Teams of Red and Blue, I'm with the Purple Team]
This entry was posted in Apache/Tomcat, Footprinting, PCI Compliance, PenTest, Security, Web Security and tagged , , , , , , . Bookmark the permalink.

5 Responses to Disabling SSLv2 & Weak CipherSuites Support in Apache Tomcat

  1. امجد says:

    كتاب مجاني عن PCI
    http://www.qualys.com/forms/ebook/pcifordummies/
    , و flash demo .

    كمان نصيحة ” اذا بتسمحلي ” الcertificate تبعتهم قوية جدا و مطلوبة في الدومين …لله الحمد انا منهم و سوف ازودكم برابط ل مدونتي الي فيها المراجع …بعد موافقة الدكتور طبعا

  2. أيمن العوادي says:

    السلام عليكم, والله يخوي اول مرة اسمع بالـ Tomcat , ::21 ::21…. بس بصراحة معلومات مفيدة , تقبل مروري ::18

  3. mrloong says:

    شـكــ وبارك الله فيك ـــرا لك … لك مني أجمل تحية .

  4. B!n@ry says:

    امجد @ مشكور أخي أمجد على الإضافة … موضوع إختيار الأداة بالوقت الحالي بيد الإدارة لكن ممكن حين تنتهي رخصة الأدوات التي معي الحين أستعمل غيرها وأطالب بغيرها … شكراً يا خوي وأيضاً شكراً لإضافتك رابط الكتاب أكيد سيفيد الجميع …

    أيمن العوادي @ وعليكم السلام ورحمة الله وبركاته
    حياك الله اخوية ايمن … ياله الآن عرفت أكو شي إسمه Tomcat ::18 إن شاء الله يفيدك الموضوع … وشكراً لمرورك …

    mrloong @ ويبارك بيك اخي الكريم … شكراً لك ولمرورك الطيب …

Comments are closed.