Java http clients 和 POODLE
关于POODLE漏洞,如果我理解正确,它需要一个客户端,当无法与使用服务器公布的更高版本协议的服务器建立安全通道时,它会自动将TLS协议降级到SSLv3。
常见的java HTTP客户端库,特别是javax.net.ssl.HttpsURLConnection和Apache HttpClient,在无法与服务器建立TLS会话时会自动降级TLS协议吗?如果不是,我是否正确,除非(a)服务器仅支持SSLv3,或者(b)更高级别的逻辑执行降级,否则它们不受POODLE攻击的影响?
我正在寻找类似 http://blog.hagander.net/archives/222-A-few-short-notes-about-PostgreSQL-and-POODLE.html 的东西,但针对Java客户端。