O uso de SSLv3.0 / TLSv1.0 em combinação com certas técnicas de criptografia (bloco CBC
cifras) pode permitir que um atacante preveja o chamado Vetor de Inicialização de SSL subseqüentes
pacotes. Usando essas informações, o invasor pode acessar a sessão segura de outro usuário. este
O ataque, denominado BEAST (Navegação Exploit Against SSL / TLS), é direcionado ao navegador do usuário e não
no servidor web. No entanto, é possível tomar contramedidas no lado do servidor, bem
para evitar um ataque bem sucedido.
A solução completa para este problema é desabilitar ou despriorizar o suporte para
cifras de criptografia vulneráveis (cifras de bloco CBC) ao usar SSLv3.0 / TLSv1.0. Comumente, isso
pode ser alcançado priorizando as cifras RC4 no processo de negociação de cifras.
Para servidores da web Apache que suportam SSLv3.0 / TLSv1.0, isso pode ser configurado adicionando-se
configuração seguinte:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
Para servidores da web Apache que suportam SSLv3.1 / TLSv1.1 e superior, é recomendável usar o
configuração seguinte:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
Até onde eu sei, o JBoss 7 é baseado em uma versão do Apache que suporta SSLv3.1 / TLSv1.1 (talvez eu esteja errado), então a segunda alternativa pode ser aplicada ao JBoss 7.
Minha pergunta é: Onde / como devo configurá-lo?