Q. Tomcatで動作しているEnterprise PortalのためのSSLの推奨設定について

SecureAssist 2.3.x Eclipse/RAD 用の設定

Tomcatの設定ファイル server.xml の Connector 要素の sslProtocol 属性と sslEnabledProtocols 属性の推奨値は以下のようになります。最初の設定は、Tomcatで有効にする必要のある最小のSSLプロトコルのセットで、その後の設定は、さらに異なるバージョンのJREで動作しているクライアントやIDEもサポートするようにプロトコルを追加したものです。

JRE (IBM/Oracle) 1.7とそれ以降で動作しているIDEをサポートする場合:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

上の場合に加えて、Oracle JRE 1.5 と 1.6 で動作している IDE もサポートする必要がある場合:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"

上の場合にさらに加えて、IBM JRE 1.5 と 1.6で動作している IDE もサポートする必要がある場合:

sslProtocol="TLS" sslEnabledProtocols="SSLv3,TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"

SecureAssist 2.4.x Eclipse/RAD 用の設定

SecureAssist 2.4 は、SSLv3 プロトコルの POODLE(ページ下部の参考リンクを参照のこと)攻撃への対策のため、SSLv3 のサポートを外しています。Tomcat の設定ファイル server.xml の Connector 要素の sslEnabledProtocols 属性の推奨設定は以下のようになります。最初の設定は、Tomcatで有効にする必要のある最小のSSLプロトコルのセットで、その後の設定は、さらに異なるバージョンのJREで動作しているクライアント/IDEもサポートするようにプロトコルを追加したものです。

JRE (IBM/Oracle) 1.7 とそれ以降で動作しているIDEをサポートする場合:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

上の場合に加えて、Oracle JRE 1.5 と 1.6 で動作している IDE もサポートする必要がある場合:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"

上の場合にさらに加えて、IBM JRE 1.5 と 1.6 で動作している IDE もサポートする必要がある場合:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1,SSLv2Hello"

ApacheでOpenSSLを使っている場合の設定(SSLをApacheで処理している場合)

SecureAssist 2.3.xとそれ以前用の設定

httpd.conf で定義した各 Virtaul Host に対して、SSL 設定は TLS バージョンに加えて SSLv3 をサポートする必要がありますので、設定は次のようになます。

TLSv1.1 と TLSv1.2 をサポートしていない Apache 2.2.x の場合:

SSLProtocol +TLSv1 +SSLv3 -SSLv2

LSv1.1 と TLSv1.2 をサポートしている Apache 2.4.x の場合:

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 +SSLv3 -SSLv2

SecureAssist 2.4.x とそれ以降用の設定

httpd.conf で定義された各 Virtaul Host に対して、SSL 設定は TLS バージョンのみをサポートする必要がありますので、設定は次のようになります。

TLSv1.1 と TLSv1.2 をサポートしない Apache 2.2.x の場合:

SSLProtocol +TLSv1 -SSLv3 -SSLv2

TLSv1.1 と TLSv1.2 をサポートする Apache 2.4.x の場合:

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3 -SSLv2

参考リンク:
https://tomcat.apache.org/tomcat-7.0-doc/config/http.html
http://wiki.apache.org/tomcat/Security/POODLE