구글 이이 블로그 항목 http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html 에 글을 쓰면 POODLE을 완화하는 세 가지 방법이 있습니다.
- SSL 3.0 지원 비활성화
- SSL 3.0으로 CBC 모드 암호 사용 안함
- TLS_FALLBACK_SCSV 지원
처음 두 옵션은 XP의 IE6과 같은 이전 클라이언트와의 호환성을 손상시킵니다. TLS_FALLBACK_SCSV는 현재 Chrome을 지원하는 브라우저에 따라 다르지만 Firefox는 너무 빠릅니다. TLS_FALLBACK_SCSV에는 새로 릴리스 된 OpenSSL 1.0.1j가 필요합니다.
가능한 경우 SSL 3 지원을 비활성화해야하지만이를 유지해야하는 경우 OpenSSL 1.0.1j 및 nginx가있는 경우이를 완화 할 수 있습니다.
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
이 암호 구성은 대부분의 브라우저에서 포워드 보안을 제공하고 POODLE + BEAST 서버 측을 완화합니다. SSL 3 또는 TLS 1.0 브라우저를 사용하는 경우 AES보다 RC4의 우선 순위를 지정하여 CBC 모드를 피합니다. TLS 1.1 이상을 실행하는 브라우저는 RC4를 사용하지 않으므로 원하는만큼 안전하지 않습니다 .
https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com : 현재 ssllabs에 A 등급을 부여합니다