Ich habe eine Webanwendung, die auf Jetty 6 + Open JDK 7 unter Debian 6.0.7 läuft. Ich habe aber eine Sicherheitsanforderung, um einen TLS-Handshake zu akzeptierennicht ein SSLv3.0-Handshake, wenn ein Client eine HTTPS-Verbindung initiiert.

In meiner jetty.xml habe ich das Protokoll auf TLS gesetzt:

<New class="org.mortbay.jetty.security.SslSocketConnector">
    <Set name="protocol">TLS</Set>
    ...

Bei dieser Konfiguration scheint der Webserver weiterhin einen SSLv3.0-Handshake zu akzeptieren. Dies wurde mit dem Tool 'sslscan' überprüft und 'curl -sslv3 -kv {host}' ausgeführt.

Ist es möglich, Jetty so zu konfigurieren, dass nur ein TLS-Handshake akzeptiert wird? Gerne aktualisiere ich bei Bedarf meine Jetty-Version.