在 Tomcat 服务器上禁用 TLS 1.0 和 1.1 时出现问题

我正在管理一个网站，在漏洞扫描期间，显示仍然支持 TLS 1.0 和 1.1。但是，我正在尝试禁用这些协议以提高安全性。

我对安全性了解不多，但我尝试了几种方法（在 ChatGPT 的帮助下），但似乎没有任何效果。

附加信息：

• 服务器：Tomcat 8.5.100

• Java版本：java 8

请帮助我。

我为解决此问题所采取的步骤：

1. 修改

   server.xml

   文件如下：

   <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" server="Server" />
   <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
              maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       keystoreFile="/path" keystorePass="password"
              clientAuth="false" sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1.2"  URIEncoding="UTF-8" 
                  Ciphers="ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384,
            ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-CHACHA20-POLY1305,
            ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256,
            ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384,
            ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256"
   />
   

   • 设置

     protocol="org.apache.coyote.http11.Http11Protocol"

     似乎不起作用。

   • 我尝试删除

     ciphers

     属性，但没有帮助。

   • 我也尝试过使用

     <SSLHostConfig>

     标签，但是Tomcat无法重启。我检查了

     catalina.log

     并看到了这个错误：

     Multiple SSLHostConfig elements were provided for the host name [_default_]. Hostnames must be unique.
     

2. java.security 文件

   jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, TLSv1, TLSv1.1, MD5withRSA, DH keySize < 1024, \
       EC keySize < 224, 3DES_EDE_CBC, anon, NULL
   

3. 使用

   openssl

   命令进行测试，会话协议为

   TLSv1.2