...pudding - diary

_ [Software] Tomcat や JBoss の SSLv3 を止める

Tomcat や JBoss の SSLv3 を止めるにはどうしたらいいの？ Red Hat のサイトに出ています。

Disabling SSLv3 and SSLv2 in Tomcat and JBoss Web - Red Hat Customer Portal

これを見て、手元の JBoss 4.x の SSLv3 を止めようと思ったのよ。

server.xml ファイルを見ると、初期値として sslProtocol="all" って書いてある。これ見たら、all のところを tls にでもしてみるか、と思うじゃないですか。ダメなんですわ。

リンク先のコメント内にあった記述がビンゴでした。

When using EAP 5 with the APR connector, the attribute to set is:
SSLProtocol = "TLSv1"
So without "s" and with uppercase SSL.

sslProtocols とかいう感じに末尾の s を付けると動作しない。そして ssl ではなく SSL と大文字にしておく必要がある。めんどうだけど、その通りにしたら SSLv3 を停止できました。