OpenSSLの脆弱性で「FREAK」というものが流行ってきたようです。
内容は以下にまとめられています。
http://japan.zdnet.com/article/35061288/2/
http://www.itmedia.co.jp/enterprise/articles/1503/04/news054.html
EXPORTという弱い暗号化が使われるとヤバイというものですが
通常新しめのhttpdなどでは
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
になっているので問題ないようです。
で、TomcatでJDK6でかつAPR無しSSL使っている場合これに当たります。
修正するにはTomcatのsever.xmlのkeystoreなどを書いているところに以下を追加します。
※SHA256など必要な場合は追加する必要あり
ciphers="SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
Tomcatを再起動して以下の検証コードで試してください。
openssl s_client -connect [target site]:443 -cipher EXPORT
