哪个 SSL 确认 [关闭]答案

【问题标题】：Which SSL confirmation [closed]哪个 SSL 确认 [关闭]
【发布时间】：2014-04-10 11:16:12
【问题描述】：

我维护的一个 Java Servlet 使用 SSL 加密。我认为它使用 Oracle 的 JSSE SSL，在 HeartBleed Bug 公告之后我不想使用 OpenSSL。有人可以告诉我如何确定是这种情况吗？

到目前为止，我在 Google 上一无所获。

【问题讨论】：

我们是否可以在不发布实际相关信息的情况下使用占卜来确定您使用的 SSL？
我在 SSL 方面没有那么丰富的经验，并且最初没有设置，所以我很抱歉。我需要查找哪些信息？我创建了我使用的 SSL 命令的屏幕转储，它们都涉及导航到 JDK_Location\bin 并从“keytool”开始，即 keytool -import。同样在 JDK_Location\JRE\lib 我有 jsse.jar。这是否指向我使用 JSSE 而不是 OpenSSL？
您使用的是哪个 servlet 容器？
Tomcat V7.0.我只是在 Live 服务器上运行以下命令； C:\>openssl version -a 'openssl' 不是内部或外部命令、可运行程序或批处理文件。
我认为这意味着我没有什么可担心的，毕竟必须使用 JSSE。是吗？？

【解决方案1】：

这与其说是关于 openssl 命令（无论如何可能不在你的路径上），不如说是关于 OpenSSL 库。

如果您使用的是 Tomcat，如果您设置了 APR connector，那么您将依赖 OpenSSL 库。否则，您将使用 JSSE（除非您提供自己的 SSLImplementation 类，这不太可能）。

【讨论】：

server.xml 文件有多个监听器标签，但只有一个将 SSL 提到为
检查您是否在使用tcnative（请参阅我之前给您的链接中的安装/Windows 部分）。
如果 tcnative 一个 dll 会在 C:\Windows\system32 它不存在。
不一定在那个目录中（实际上不太可能）。查看是否有路径修改，如本页底部所述：tomcat.apache.org/native-doc
再次感谢您的帮助。在 tomcat\bin 位置有一个 setenv.bat 文件，因为它是我必须创建的，但没有引用任何关于 tc-native 库的内容，而且我检查了 PATH 环境变量，也没有引用任何关于 OpenSSL 或 tc 的内容- 本地人。

【解决方案2】：

我不确定我的理解是否正确，但如果您想了解您的 servlet 是否容易受到心脏出血攻击以及是否可以从 Internet 访问，您可能需要查看：http://filippo.io/Heartbleed/

【讨论】：