La configuration du réseau est un élément très important à vérifier lorsque vous déployez un type d’architecture On-premise. Assurez-vous que le serveur Tomcat N’EST PAS directement accessible en dehors du serveur :
Si possible, utilisez un canal sécurisé : POP3S au lieu de POP3 (ou POP3 sur TLS).
Vous devez appliquer les bonnes pratiques en matière de sécurité au moteur de votre base de données.
Pour vérifier le certificat, vous pouvez utiliser openssl. Pour contrôler les chiffrements actifs, vous pouvez avoir recours à nmap :
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
Vous pouvez également utiliser un script Python sslyze qui effectue les deux vérifications.
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com