Disabling SSLv2 & Weak CipherSuites Support in Apache Tomcat

السلام عليكم ورحمة الله وبركاته

نفس الخلل الذي ظهر عندي في خادم Apache من أجل فحص الحصول على PCI Compliance ظهر في خادم Tomcat وهو وجود Weak supported SSL ciphers suites … وبصراحة أنا ما لي خبرة في Tomcat ولهذا كان لازم أبدأ بالقراءة عنه وعن طريقة عمله وإعداداته … والحمد لله بعد القراءة عرفت أين ملفات الإعداد وكيف أقوم بحل المشكلة … الآن كل الذي عليك فعله هو التالي:

أذهب الى المجلد الخاص بملفات Tomcat (سيختلف من توزيعة لأخرى ومن تنصيب لآخر) ومن ثم قم بتحرير ملف الإعدادات الخاص بالخادم:
vim server.xml

وأبحث عن الـ SSL port connector أي الحقول الخاصة بموصل الـ SSL … مثال:
< Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="SSLv3" ciphers="EDH-RSA-DES-CBC3-SHA,DES-CBC3-SHA,DHE-RSA-AES128-SHA,AES128-SHA" keystorePass="KeyStorePassOfYours" keystoreFile="/path2ssl_keystore/ssl/example.com.pem.keystore"/>

قم بتغييرهم ليصبحوا هكذا:
Continue reading

Disabling Weak SSLv2 Support in Apache Server

السلام عليكم ورحمة الله وبركاته

هذه واحدة من المشاكل التي وجدتها بعد الفحص الخارجي الذي قمت به من أجل متطلبات الـ PCI Compliance الأسبوع الماضي … على الرغم من كون أغلب المتصفحات اليوم تقوم بإستعمال TLSv1 الأقوى و SSLv3 ولكن مع هذا يجب عمل تعطيل كامل لـ SSLv2 ولهذا ما لنا سوى تنفيذ الحلول :)

عملية ترقيع هذه المشكلة بسيطة للغاية …
بالبداية أبحث في ملف httpd.conf أو ssl.conf عن التوجيه SSLCipherSuite ومن ثم غييره الى التالي:

SSLProtocol -ALL +SSLv3 +TLSv1
Continue reading