Un aspecto muy importante que debe comprobar al implementar un tipo de arquitectura local es la configuración de red. Asegúrese de que NO se pueda acceder directamente al servidor Tomcat desde fuera del servidor:
Cuando sea posible, utilice un canal seguro: POP3S en lugar de POP3 (o POP3 sobre TLS).
Debe aplicar las prácticas recomendadas de seguridad del motor de base de datos.
Para comprobar el certificado, puede utilizar openssl. Para comprobar las cifras activas, puede utilizar nmap:
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
También puede usar un sslyze script python que hace ambos.
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com