Una cosa molto importante da verificare quando si implementa un tipo di architettura on-premise è la configurazione di rete. Assicurati che il server Tomcat NON sia direttamente accessibile all'esterno del server:
Quando è possibile, utilizza un canale sicuro: POP3S invece POP3 (o POP3 su TLS).
È necessario applicare le best practice relative alla sicurezza del motore di database.
Per controllare il certificato, puoi utilizzare openssl. Per controllare i caratteri attivi, puoi utilizzare nmap:
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
È inoltre possibile utilizzare un balzo script di pitone che fa entrambi.
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com