У меня есть веб-приложение, работающее на Jetty 6 + Open JDK 7 на Debian 6.0.7. У меня есть требование безопасности, чтобы принимать рукопожатие TLS, но не рукопожатие SSLv3.0, когда клиент инициирует соединение HTTPS.
В моем jetty.xml я установил протокол TLS:
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="protocol">TLS</Set>
...
В этой конфигурации веб-сервер по-прежнему принимает рукопожатие SSLv3.0. Это было проверено с помощью инструмента «sslscan» и запуска «curl -sslv3 -kv {host}».
Можно ли настроить Jetty так, чтобы он принимал только рукопожатие TLS? Я был бы готов обновить свою версию Jetty, если это необходимо.