Apache Httpd и Weblogic настроен для SSL
У меня есть Apache Httpd, работающий как мой RPS перед некоторыми серверами Weblogic и Coherence. Мне настроили RPS для ssl, и отклонять запросы SSLv2 и SSLv3. Таким образом, когда я добрался до определенного URL (Виртуальный IP), который содержит несколько серверов хорошо.
У меня есть сканер уязвимости, который говорит, что IP сервера (отличающийся от URL сайта) впускает SSLv3 и запросы SSLv2 в. Но при сканировании VIP для сайта это говорит хорошо, потому что Apache настроен.
Мои мысли об этом состоят в том, чтобы создать и Apache и Weblogic для SSL. Это было бы хорошей идеей? или я более параноик, чем я должен быть?
Предложения?
Вы можете сделать так, чтобы weblogic использовал только TLS и завершал соединения SSLv3 / 2. Проверьте это сообщение « Weblogic Mitigate POODLE уязвимость после обновления и по-прежнему использует шифры CBC ».
Он предлагает обновить Java до 7u75 или использовать -Dweblogic.security.SSL.protocolVersion = Проверьте эту страницу на наличие веб-логики SSL, вы найдете ее полезной
http://docs.oracle.com/cd/E23943_01/web.1111/e13707/ssl.htm#SECMG499