OpenSSL Poodle 취약점에 대응하여 SSLv3를 비활성화해야합니까?


8

OpenSSL은 메모리 루틴의 또 다른 새로운 취약점을 발표했습니다. https://www.openssl.org/news/secadv_20141015.txt 에서 모든 내용을 읽을 수 있습니다.

해결 방법은 SSLv3을 비활성화하는 것입니다.

  • 웹 사이트에서 HTTPS가 완전히 비활성화됩니까?
  • SSLv3을 사용하는 클라이언트는 여전히 어떤 클라이언트를 지원해야합니까?

3
그렇지 않으면, 사람들은 그것을 제안하지 않을 것입니다. 물론, 허용하는 유일한 프로토콜이 SSLv3이 아니라면 일반적이지 않습니다.
gparent

2
새로운 수정 사항을 적용하면이 사이트에 대해 완전히 합법적 인 질문이되며 다운 투표를받을 자격이 없습니다. Shane Madden의 답변 (현재 +5 투표)은이 질문이 얼마나 귀중한지를 보여줍니다. 또 다른 가능한 대답은 HTTPS가 SSL 및 / 또는 TLS를 사용할 수 있으며 두 가지의 차이점을 설명합니다.
Stefan Lasiewski

12
이 질문이 다가오는 커뮤니티 이벤트 인 이유는 무엇입니까? = p
질문 오버플로

1
기술 토론과 구성 파일에서 HTTPS와 SSL을 수년 동안 서로 바꿔 사용할 수 있다는 점을 고려하면 "해결할 문제에 대한 최소한의 이해"를 가진 관리자를 포함한 많은 관리자가 같은 질문을 가질 수 있습니다. 다시,이 질문은 편집 후 합법적이므로 다시 열어야합니다.
Stefan Lasiewski

답변:


21

아니요. 웹 사이트에 대한 HTTPS 연결을 끊지 않습니다. TLSv1 (및 소프트웨어가 최신 버전 인 경우 최신 버전)은 거의 모든 브라우저에서 이미 사용하고 있습니다 (Windows XP의 IE6 제외).

구성에서 TLSv1이 사용되는지 확인하지만 기본적으로 거의 모든 서버 측 SSL 구성에 있습니다.


또한 일부 이전 명령 줄 클라이언트 및 이전 어플라이언스는 SSLv3 만 지원할 수 있습니다.
Stefan Lasiewski

1
TLS 협상의 실패를 시뮬레이션하여 해당 브라우저를 SSLv3으로 대체 할 수 있습니다. 그렇기 때문에 SSLv3 서버 측을 비활성화해야하고, 다음 업데이트에서 주요 브라우저가 SSLv3 클라이언트 측을 비활성화하기 위해 스크램블하는 이유입니다. 이러한 구형 어플라이언스를 지원해야한다고 확신한다면 완화 조치가 있습니다. serverfault.com/q/637848/249649
cypres

1
@cypres 편집에서 질문 제목의 변경이 당신을 벗어난 것으로 생각합니다. "아니요"는 본문으로 이동 한 원래 제목 질문 에 대한 응답으로 "이것은 웹 사이트에서 HTTPS를 완전히 비활성화합니까?"입니다. 나는 그것을 명확히하기 위해 편집했다.
Shane Madden

6

예, SSLv3을 비활성화해야합니다. 푸들은 TLS가 실패하면 브라우저가 SSLv3과 같은 오래된 프로토콜을 사용하려고 시도하기 때문에 작동합니다. MITM은이를 악용 할 수 있습니다 (크롬 만 atm을 지원하는 클라이언트 및 서버가 새 TLS SCSV를 지원하지 않는 한). 푸들 공격에 대한 자세한 내용은 https://security.stackexchange.com/q/70719를 참조하십시오.

SSLv3은 여러 가지 방식으로 구분되며 문제를 처리하는 가장 좋은 방법은 15 년 전에 TLS로 대체되었으므로이를 비활성화하는 것입니다. 웹 사이트에서 SSLv3을 사용하고 XP의 IE6에 관심이없는 경우 (XP의 IE7이 좋음)이를 비활성화해도 안전합니다.

SSLv3 비활성화의 가능성은 관련 질문에 대해 논의 중입니다. 푸들 : 서버에서 SSL V3 비활성화는 실제로 솔루션입니까?

당신이 그것에있는 동안, 당신은 다른 문제가 있는지 확인하기 위해 사이트에서 테스트를 실행할 수 있습니다 https://www.ssllabs.com/ssltest/


셰인의 대답이 어떻게 틀렸는 지 더 구체적으로 설명해 주시겠습니까? 감사!
Chris S

@ChrisS, 나는 Shane을 오해했다. 그는 TLS를 사용하도록 설정하면 좋으며 SSLv3을 사용하지 않도록 설정할 필요가 없다고 생각했습니다. 편집 후 그의 대답은 이제 SSLv3를 비활성화해도 웹 사이트가 중단되지 않는다는 것입니다. 그러나 TLS 지원에 관계없이 활성화 상태를 유지하면 푸들도 수정되지 않습니다. 더 명확하게하기 위해 내 것을 편집했습니다.
cypres
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.