[OpenSSL] SSL 설정에서 SSLv3 제거
본문 바로가기
IT 이야기/ETC

[OpenSSL] SSL 설정에서 SSLv3 제거

by 찬찬이 아빠 2019. 11. 21.
반응형

 SSL 설정파일(http-ssl.conf)에서 SSLv3로 검색하여 -SSLv3 부분을 삭제합니다.

# vim $HTTPD_HOME/conf.d/http-ssl.conf

...생략...

SSLEngine on

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:!SSLv3:RC4+RSA:+HIGH+MEDIUM+LOW

...생략...

 

설정 시 아래 현상이 발생하는지 확인이 필요합니다.

 ① 정상적으로 설정하였으나 일부 사용자 PC의 Internet Explorer 부라우저에서 속도가 느리거나 인증 에러가 발생

 ② 인증키 발급기관에 문의하여 SSLv3 항목을 사용하지 않고, TLSv1.1 이상을 사용하는지 확인 후 설정

 

 

<참고사항>

SSLv3

1. 넷스케이프에서 개발, 표준 아님

2. 아래의 프로토콜 및 암호 요구사항: 옵션

- Diffie-Hellman key agreement

- Digital Signature Standard

- 3DES encryption

 

암호화 프로토콜은 보안 연결을 제공하여 두 당사자가 사생활 보호와 데이터 무결성을 가지고 서로 통신할 수 있게 해줍니다.

 

SSLv3는 몇번의 시도를 통해 보안 쿠키를 복호화하는 MITM 공격을 가능케하는 취약점이 있습니다.

 

해당 취약점은 CVE-2014-3566으로 설명되어 있으며 취약한 SSLv3 프로토콜로 내려갈 수 있는 많은 인터넷 연결 서버들에 영향을 끼칩니다.

 

SSL은 TLS로 대체할 수 있으며 위와 같이 설정한 경우 서버에 SSL을 사용하지 않고 TLS로 사용하도롤 설정합니다.

 

 MITM(Man In The Middle attack, 중간자 공격) : 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법입니다.. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달합니다.

반응형

댓글