Wie verbiete ich bestimmte SSL-Protokolle in Jetty?
Ich habe eine Webanwendung, die auf Jetty 6 + Open JDK 7 unter Debian 6.0.7 läuft. Ich habe aber eine Sicherheitsanforderung, um einen TLS-Handshake zu akzeptierennicht ein SSLv3.0-Handshake, wenn ein Client eine HTTPS-Verbindung initiiert.
In meiner jetty.xml habe ich das Protokoll auf TLS gesetzt:
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="protocol">TLS</Set>
...
Bei dieser Konfiguration scheint der Webserver weiterhin einen SSLv3.0-Handshake zu akzeptieren. Dies wurde mit dem Tool 'sslscan' überprüft und 'curl -sslv3 -kv {host}' ausgeführt.
Ist es möglich, Jetty so zu konfigurieren, dass nur ein TLS-Handshake akzeptiert wird? Gerne aktualisiere ich bei Bedarf meine Jetty-Version.