푸들 : 서버에서 SSL V3를 비활성화하는 것이 실제로 해결책입니까?


39

나는 푸들 취약점에 대해 하루 종일 읽었으며 지금은 보안과 수익에 대해 약간 혼란 스럽습니다.

서버에서 SSL V3을 비활성화하면 (SSL V2 및 V3은 프로토콜을 지원하지 않지만 SSL V3는 서버와 HTTPS를 연결할 수없는 Apache 클라이언트 (브라우저)에 대해 비활성화됩니다.

따라서 클라이언트와 서버 모두 TLS 1.1 1.2와 통신해야하는 상황입니다.

그들 중 하나가 SSL V3을 사용하고 다른 하나가 더 낮은 버전을 지원하지 않으면 어떻게됩니까? SSL에 연결되지 않았습니다.

Firefox에 대한 업데이트가 거의 없었습니다. 아마도 우리가 일반적으로 옵션에서 해야하는 방식으로 SSL V3을 비활성화했을 것입니다. 이렇게하면 모든 연결이 더 낮은 버전 및 TLS에 강제로 적용됩니다.

그러나 SSL V3를 비활성화하면 실제로이 문제에 대한 해결책입니까?


4
"이렇게하면 모든 연결이 하위 버전 및 TLS로 강제 설정됩니다"는 무슨 뜻입니까? SSLv1 및 SSLv2가 손상되어 오랫동안 비활성화되었습니다. SSLv3은 눈살을 찌푸 렸지만 많은 경우 레거시 소프트웨어를 지원할 수있는 상태로 남아있었습니다. 당신이 말하는 하위 버전은 무엇입니까? TLSv1.0, v1.1, v1.2, ...는 이후 표준이며 "상위 버전 SSL"로 간주 될 수 있으며 버전 번호 만 이름 변경으로 재설정되었습니다.
Håkan Lindqvist

안녕하세요, 지금까지 이해 한 것은 Red Hat이 권장하는대로 서버에서 SSL V3 및 V2를 비활성화하면 보안 연결은 TLS 프로토콜에 있습니다. 브라우저가 서버와 TLS를 호출하는 경우 보안 연결에 문제가 없습니다. SSL과 TLS 버전의 차이점에 대한 정확한 정보가 없습니다.
sandeep.s85

답변:


52

먼저, 정리해 봅시다 :

  • TLS가 SSL을 대체했습니다. TLS 1.0이 출시되었으며 SSL 3.0에 대한 업데이트입니다.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • 3.0 이전의 SSL 버전은 한동안 심각한 보안 취약점으로 알려져 있으며 최신 클라이언트 및 서버에서 지원하지 않거나 지원하지 않습니다. SSL 3.0은 곧 같은 방식으로 진행될 것입니다.

  • 현재 사용되는 프로토콜 중에서 "푸들"은 완화 할 방법이없는 SSL 3.0에 가장 큰 영향을 미칩니다. 거기에있다 유사한 공격 일부 TLS 1.0 및 1.1에 대한 구현 소프트웨어가 최신 버전인지 확인 - 사양이 허용하는가.


이제 "푸들"이 최신 클라이언트 및 서버에서도 위험이되는 이유는 클라이언트가 폴백 메커니즘을 구현했기 때문입니다. 모든 서버가 최신 버전을 지원하는 것은 아니므로 클라이언트는 서버가 지원하는 서버를 찾을 때까지 최신 버전 (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0)에서 각 버전을 순서대로 시도합니다. 이것은 암호화 된 통신이 시작 되기 전에 발생 하므로 MITM (Man-in-the-Middle) 공격자는 서버가 상위 버전을 지원하더라도 브라우저를 이전 버전으로 되돌릴 수 있습니다. 이를 프로토콜 다운 그레이드 공격이라고합니다.

특히 "푸들"의 경우 클라이언트와 서버 모두 SSL 3.0을 지원하는 한 MITM 공격자가이 프로토콜을 강제로 사용할 수 있습니다.

따라서 SSL 3.0을 비활성화하면 두 가지 영향이 있습니다.

  • 더 높은 버전을 지원하는 클라이언트는 취약한 버전으로 넘어가도록 속일 수 없습니다 ( TLS Fallback SCSV 는 프로토콜 다운 그레이드 공격을 방지하기 위해 새로 제안 된 메커니즘이지만 모든 클라이언트와 서버에서 아직 지원하지는 않습니다). SSL 3.0을 사용하지 않으려는 이유입니다. 대부분의 고객이이 범주에 속할 가능성이 있으며 이는 유리합니다.

  • TLS를 전혀 지원 하지 않는 클라이언트 (다른 사람들이 언급했듯이 XP의 IE6은 HTTPS에 여전히 사용되는 유일한 것임)는 암호화 된 연결을 통해 전혀 연결할 수 없습니다. 이것은 아마도 사용자층의 작은 부분 일 것이므로이 소수를 수용하는 최신의 대다수의 보안을 희생 할 가치가 없습니다.


8
안녕하세요 밥, 여기가 앨리스입니다. 망치가 푸들을 어떻게 활용할 수 있는지에 대한 당신의 설명처럼.
BatteryBackupUnit

+1 프로토콜 다운 그레이드 공격에 대해 몰랐습니다.
developerwjk

1
업데이트 : "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications." zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable
BlueCacti

@GroundZero > 그러나 일부 TLS 구현은 여전히 ​​패딩 바이트를 확인하지 못했지만 패딩 바이트를 확인하지 못했습니다. => 구체적으로, TLS 1.0 및 1.1 구현 은 망가질 수 있지만 (사양 이런 방식으로 고장날 있습니다. 좋지 않습니다), 스펙 자체 가 망가졌고 SSL 3.0만큼 나쁘지 는 않습니다. 적합한 구현으로 해결할 수 있습니다. 또한 서버에서 TLS 1.0 및 1.1 지원을 "끄기"는 SSL 3.0을 끄는 것보다 훨씬 어려운 문제입니다. 훨씬 더 많은 사용자에게 영향을 미칩니다.
Bob

주로 서버 측 구현이 취약한 것 같습니다 (?)-서버에서 TLS 구현을 수정하십시오. 그러면 좋을 것입니다 (?) [브라우저 및 기타 클라이언트가 영향을받지 않는다는 것을 확인할만큼 충분히 조사하지 않았습니다. , 그러나 링크 된 기사 및 그 출처의 문구가이를 제안합니다].
Bob

27

평가가 정확합니다. SSL 3을 비활성화하면 클라이언트는 최신 프로토콜을 사용하여 서버에 연결해야합니다. SSL 3 프로토콜에 결함이 있으며 "패치"가 없습니다. SSL 3을 사용하지 않는 것이 유일한 솔루션입니다.

이 시점에서 많은 사이트에서 SSL 3을 사용하지 않도록 설정했기 때문에 이전 브라우저 사용자가 업그레이드해야하는 것이 사실상 불가피합니다. 사용자 에이전트 문자열을 로깅한다고 가정하면 로그를 검토하고 SSL 3 비활성화에 대한 정보를 바탕으로 결정을 내릴 수 있다고 가정합니다. 사이트 방문자 중 소수만이 새로운 프로토콜을 처리 할 수없는 브라우저를 사용하고있을 가능성이 높습니다.

[fwiw-cloudflare는 SSLv3에 따라 1.12 %의 사용자가 IE6 XP 사용자임을보고합니다.]


1
그것이 사실이지만 SSLv3에 결함이 있습니다, 그리고 유일한 것이 진정한 해결책은 비활성화하고 SSLv3이다. 푸들은 CBC 모드 암호 (AES)에만 영향을 미치기 때문에 TLS 1.0 클라이언트에 RC4 암호를 허용 할 수 있으면 SSLv3을 비활성화 할 필요가없는 푸들 공격에 대한 완화도 있습니다. : 여기를 설명한 serverfault.com/q/637848/249649
CYPRES

2
TLS_FALLBACK_SCSV그러나 이전 클라이언트에 대한 공격을 완화하지는 않습니다. 그것은 단지 오래된 클라이언트가 결함이있는 프로토콜을 계속 사용하면서 새로운 클라이언트에 대한 바람직하지 않은 프로토콜 버전 다운 그레이드를 방지 할 수있게합니다. 결국 모든 클라이언트에 SSLv3을 사용하도록 설정하면 트래픽이 공격자에게 노출 될 수 있습니다.
Evan Anderson

RC4는 scsv가 아닌 이전 클라이언트에 대한이 공격을 완화하고 있습니다. 그러나 우리는 오히려 RC4를 사용하지 않으므로 가능한 경우 SSLv3을 비활성화하는 것이 좋습니다.
cypres

1
@cypres-예- 'TLS_FALLBACK_SCSV'는 이전 고객에게 도움이되지 않습니다. 나는 심각한 약점이있는 것으로 보이는 암호를 사용하는 것도 도움이되지 않는다고 주장합니다. 우리는 이것이 "넷에서 SSL 3.0을 제거하는"플래그 데이 "가되어야합니다. 물론, 기업 내에서 TLS를 지원하지 않는 구형 기기, 임베디드 장치 등이 있다면 SSL 3.0을 자유롭게 실행하십시오. 그래도 누구나 공용 인터넷에서 SSL 3.0을 계속 사용하도록 장려하는 것은 무책임하다고 생각합니다.
Evan Anderson

오늘은 Firefox에서 SSLv3을 비활성화하고 TLS 만 허용했으며 인터넷에서 웹 사이트를 탐색하는 동안 상당한 양의 SSL 연결 문제가 나타납니다. sslv3이 활성화 된 수백 개의 Linux 서버를 지원하고 있습니다. 내가 틀렸을 수도 있지만이 상황에 대한 궁극적 인 해결책은 OS 공급 업체가 패치를 릴리스 할 때까지 클라이언트 측에서 아무것도하지 않아야합니다. 문제는 영향을 예측할 수 없다는 것입니다.
sandeep.s85

20

예, SSL3을 비활성화하면 TLS를 지원하지 않는 사용자가 웹 사이트에 액세스 할 수 없습니다.

그러나 실용적인 관점에서 해당 범주에 속하는 브라우저를 살펴보십시오. Chrome과 Firefox는 모두 TLS를 지원하며이 버그로 인해 SSL3 지원도 완전히 중단됩니다. IE는 IE7부터 지원했습니다. 지원되지는 않지만 여전히 전 세계적으로 사용되는 유일한 브라우저는 IE6이며 여전히 사용되는 유일한 이유는 두 가지 이유입니다.

  1. XP 버전이 깨져 있고 Chrome 또는 Firefox를 사용하지 않는 사람
  2. 브라우저 선택에 관한 제한이있는 회사 또는 정부 정책을 가진 사람.

이 두 경우 모두 IE6는 원래 설치와 함께 제공되는 기본 Windows XP 브라우저이므로 사용됩니다. 또한, IE6이 여전히 세계 시장 점유율이 작은 이유는 중국의 많은 사용자 때문입니다.

간단히 말해, 다음 세 가지 질문이 있습니다.

  1. 상당한 중국 사용자층이 있습니까?
  2. 귀하의 웹 사이트는 구식이며 고장이 나더라도 IE6을 지원합니까?
  3. 귀하의 웹 사이트는 정부 또는 회사에서 브라우저 선택 제한이있는 제품입니까?

이 3 가지 중 하나라도 해당되면 대체 솔루션을 찾아야합니다. 3 개가 모두 거짓이면 비활성화하고 완료하십시오. 그리고 대체 솔루션이 필요한 경우 여전히 IE6를 사용하는 13 세 브라우저에서 전환하는 사용자층의 일부를 설득하기 위해 최선을 다하고 있습니까?


7

귀하 의 질문에 " Apache "와 " browsers "가 언급 되어 있지만 제목이 더 일반적입니다.

Evan과 다른 사람들이 지적한 것처럼이 문제는 HTTPS에 대해 모두 분류되어 있습니다. 그러나 서버가 암호화 할 수있는 여러 가지 다른 프로토콜이 있으며, TLS 지원은 해당 클라이언트 기반에서 훨씬 나쁩니다 (오늘 아침 IMAP / S 서버에서 "SSL3 없음"을 지시 할 때 알았 음).

답은 " 암호화 된 서비스에 따라 달라지며 클라이언트가 사용자 기반에서 TLS를 지원 " 하는 것이 두렵습니다 .

편집 : 예, 그게 내 요점이지만 동의합니다. sslv3 해제는 서비스별로 수행됩니다. 예를 들어, 비둘기장에서 전원을 끄는 방법은

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

에서 dovecot.conf. 더 큰 문제는 대부분의 브라우저가 sslv3의 손실을 용인하지만 다른 서비스의 클라이언트는 훨씬 덜 용인되는 것처럼 보입니다. 오늘 아침에 비둘기장에서 전원을 껐을 때 사용자의 약 절반이 고장났습니다. K-9 메일과 Win7에서 Outlook을 실행하는 Android 전화는 내가 아는 두 가지이지만 내 로그에서 더 많은 것을 볼 수 있습니다.

SSLv3을 끄는 것은 여전히 ​​유효한 솔루션 일뿐만 아니라 유일한 솔루션입니다. 하지만 다칠 것입니다.

편집 2 : dave_thompson_085 덕분에 dovecot에서 SSLv3 암호를 비활성화하면 SSLv3 프로토콜뿐만 아니라 TLSv1.0 및 TLSv1.1도 비활성화됩니다. 이전 프로토콜에는없는 암호가 없기 때문입니다. Dovecot (적어도, 내가 실행중인 버전을 포함하는 이전 버전)은 암호 모음이 아닌 프로토콜을 구성하는 기능이 부족한 것으로 보입니다. 이것은 아마도 그렇게 많은 고객을 해친 이유를 설명합니다.


1
또한 이것은 웹 서버뿐만 아니라 SSL을 사용하는 서버에서 실행되는 모든 서비스, 즉 웹 서버, LDAP 서버, SSH 데몬, POP3 서버, SMTP 서버에 영향을 미친다는 것을 읽었습니다. SSLProtocol 모든 -SSLv2 -SSLv3로 mod_ssl을 설정 파일은 우리뿐만 아니라 다른 서비스에서 볼 필요가 우리가 방지 클라이언트 / 서버 SSLv3에 사용하는 어떻게에
sandeep.s85

보안 권고에 설명 된 실제 POODLE 공격 은 공격자로부터의 일부 제어 능력으로 이루어진 상당한 양의 요청에 의존합니다. 스크립팅 덕분에 가능하지만 IMAPS와 같은 맥락에서 HTTPS와 브라우저의 상황에서는 이것이 실제적인 일이라고 확신하지 않습니다. 보드 전체에서 SSLv3를 제거하는 것은 물론 이상적이지만 특히 POODLE이 이러한 다른 경우와 관련이 있는지 확실하지 않습니다.
Håkan Lindqvist

Håkan, 시간이 지남에 따라 점점 더 당신과 동의합니다.
MadHatter는 Monica

3
비활성화 암호 !SSLv3 하려면 openssl에서 실제로 동료에 대한 좋은하지 않을 수 있습니다 TLSv1.2를 제외한 모든 프로토콜을 사용할 수 없습니다. 이것이 프로토콜 비활성화 가 더 나은 이유 이지만 AFAICS는 dovecot 2.1 이상에서만 가능합니다. security.stackexchange.com/questions/71872/…를 참조하십시오 .
dave_thompson_085

@ dave_thompson_085을 : 당신이 말할 때 " ...하려면 openssl에서 해제 당신이"뜻 " 비둘기장에 ... 해제 ?" 그렇다면 귀하의 의견에 동의하며, 요청에 따라 명확하게 설명 할 수 있으면이 정보에 비추어 답변을 수정하겠습니다.
MadHatter 지원 모니카

6

SSLv3를 사용 하지 않는 것이 가장 좋은 해결책이지만 이것이 유일한 해결책이라는 데 동의하지 않습니다. CloudFlare에서 설명한 것처럼 SSLv3 사용량은 매우 적 으므로 대부분의 관리자는이를 끄는 데 아무런 문제가 없습니다.

SSLv3에 대한 사양 요구 사항이 있거나 Windows XP에서 IE6를 지원해야하거나 매우 오래된 소프트웨어를 지원해야하는 경우 다른 완화 방법이 있습니다.

이를 완화하고 SSLv3을 유지하는 방법은 RC4를 사용하고 OpenSSL 1.0.1j에서 제공하는 TLS 대체 SCSV를 지원하는 것입니다. 푸들에 대한 qualys post에서 RC4는 "아무도 언급하고 싶지 않은 확실한 안전하지 않은 스트림 암호"입니다.

이것은 mail.google.com에서 Google이하는 일이며 블로그 항목에도 설명되어 있습니다. http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html


2
시스템이 푸들에 열려 있거나 RC4로 다운
시프 팅

TLS 1.1+를 지원하는 클라이언트는 RC4로 다운 시프트하지 않습니다. 나는 전문가는 아니지만 푸들이 더 나쁘다고 생각합니다.
cypres

RC4는 기본적으로 Raw Cleartext를 의미하지 않습니까?
Hagen von Eitzen

1
확실히 당신은 농담이지만, 유효한 포인트를 올립니다. : 그것은 이러한 보안에서 이에 대한 정말 좋은 답변을하지 심하게 깨진 것을의 security.stackexchange.com/a/32498
CYPRES가

2

원래의 질문에 근거하여 대화에서 한 가지 세부 사항이 누락되었다는 점에 유의하는 것이 좋습니다. TLS 1.0은 SSL 3.1이라고도합니다. 따라서 원본 포스터는 구성을 확인해야합니다. v3.0 또는 v3.1을 실행하고 있습니까?


-3

대부분의 경우와 마찬가지로 대답은 "의존적"입니다. TLS를 지원하지 않는 "일반적인"사용법의 유일한 브라우저는 IE6입니다. 안타깝게도 여러 보고서에 따르면 IE6이 전체 HTTP 요청의 몇 퍼센트 정도일 수 있다고합니다 ( http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html 참조 ) . 좋은 소식은 북미 지역에서는 미국에서는 비교적 드물다는 것입니다. 안전을 위해 www 로그에서 사용자 에이전트 통계를 확인해야합니다. 필자의 경우 IE6 UA 지문이 너무 적어서 모두 테스트 도구에서 나온 것으로 가정했습니다.

ssllab의 테스터로 웹 사이트를 테스트하여 다양한 에이전트의 반응을 확인할 수 있습니다.

https://www.ssllabs.com/ssltest/

TL; DR-SSLv3이 종료되었습니다. 긴 라이브 TLS.


15
IE6는 XP와 호환되는 마지막 버전이 아니며 XP와 함께 제공되는 버전입니다. IE8은 XP와 호환되는 마지막 버전입니다.
Håkan Lindqvist

6
IE6이 XP의 최신 버전임을 나타내는 잘못된 정보로 인해 -1입니다.
TomTom

may be as much as a few percent of global HTTP requests. 그 출처를 원합니다. CloudFlare는 사용법에 대해 다음과 같이 말합니다 In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+( blog.cloudflare.com/… ). 전 세계적으로 "몇 퍼센트"보다 훨씬 적은 수치입니다.
faker

1
클라우드 플레어 고객은 대부분 북미 대기업 인 것 같습니다. 내가 인용 한 통계는 netcraft : news.netcraft.com/archives/2014/10/15/… 에서 나온 것입니다. "Windows XP에 대한 Microsoft의 지원 기간과 종료에도 불구하고 IE6는 전 세계 웹 방문의 3.8 % 이상을 차지하는 인기를 유지합니다. 이 취약점으로 인해 IE6 및 Windows XP의 치명타가 발생할 수 있습니다. "
Joshua Hoblitt
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.