Eu tenho um servidor Windows 2008 com o Tomcat 7.0.59 & Java 8u31 & Eu estou tentando garantir que SSLv3 está desativado. Observando o changelog para Java, o SSL3 não deve mais ser suportado e o Painel de Controle Java não tem sequer uma caixa de seleção para ativá-lo nas opções de Configurações Avançadas de Segurança. Ainda assim, adicionei sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ao meu conector HTTP em server.xml. A execução de uma verificação de vulnerabilidade POODLE ainda mostra a capacidade de se conectar via SSL3.
Alguma ideia de outros locais para procurar ou ferramentas que possam ajudar a identificar o que está a ativar / apoiar SSL3 nesta caixa?
Aqui está a configuração completa do conector para referência:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
O servidor é uma máquina virtual em execução no VMWare e é usado somente para o CAS (implementação de Logon Único da JA-SIG). Outros programas instalados no sistema: