SSLv3 비활성화

• Nginx에서 SSLv3 비활성화
• Apache에서 SSLv3 비활성화
• Postfix에서 SSLv3 비활성화
• Dovecot에서 SSLv3 비활성화
• SSLv3가 비활성화되었는지 테스트

POODLE (Padding Oracle On Downgraded Legacy Encryption)은 2014 년 10 월 14 일에 발견 된 취약점으로, 침입자가 MITM (Man-in-the-Middle) 공격을 수행하여 SSLv3 프로토콜을 사용하여 암호화 된 정보를 읽을 수 있습니다. 많은 프로그램이 SSLv3을 대체로 사용하지만 SSLv3을 사용하도록 강제 할 수있는 클라이언트가 많기 때문에 비활성화해야 할 시점에 도달했습니다. 클라이언트를 SSLv3으로 설정하면 공격이 발생할 가능성이 높아집니다. 이 기사에서는 오늘날 일반적으로 사용되는 일부 소프트웨어 응용 프로그램에서 SSLv3을 비활성화하는 방법을 보여줍니다.

Nginx에서 SSLv3 비활성화

서버 정보가 저장된 구성 파일로 이동하십시오. 예를 들어, /etc/nginx/sites-enabled/ssl.example.com.conf구성에 따라 경로를 바꾸십시오. 파일 내에서을 찾으십시오 ssl_protocols. 이 줄이 존재하고 다음과 일치하는지 확인하십시오.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

이렇게하면 TLS를 사용하여 SSLv3 (및 이전 또는 더 이상 사용되지 않는 프로토콜)이 비활성화됩니다. 이제 다음 명령 중 하나를 실행하여 Nginx 서버를 다시 시작하십시오.

CentOS 7 :

systemctl restart nginx 

우분투 / 데비안 :

service nginx restart

Apache에서 SSLv3 비활성화

SSLv3을 비활성화하려면 Apache 용 모듈 구성 디렉토리로 이동하십시오. 우분투 / 데비안에 그것은있을 수 있습니다 /etc/apache2/mod-available. CentOS의 경우에는에있을 수 있습니다 /etc/httpd/conf.d. ssl.conf파일을 찾으십시오 . 지시문을 열고 ssl.conf찾으십시오 SSLProtocol. 이 줄이 존재하고 다음과 일치하는지 확인하십시오.

SSLProtocol all -SSLv3 -SSLv2

완료되면 다음 명령 중 하나를 실행하여 서버를 저장 한 후 다시 시작하십시오.

우분투 / 데비안의 경우 :

CentOS 7 :

systemctl restart httpd

우분투 / 데비안 :

service apache2 restart

Postfix에서 SSLv3 비활성화

당신의 postfix디렉토리로 향하십시오 . 일반적으로 /etc/postfix/입니다. main.cf파일을 열고를 찾으십시오 smtpd_tls_mandatory_protocols. 이 줄이 존재하고 다음과 일치하는지 확인하십시오.

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

이렇게하면 Postfix 서버에서 TLSv1.1 및 TLSv1.2가 활성화되고 사용됩니다. 완료되면 저장하고 다시 시작하십시오.

CentOS 7 :

 systemctl restart postfix

우분투 / 데비안 :

service postfix restart

Dovecot에서 SSLv3 비활성화

에 위치한 파일을여십시오 /etc/dovecot/conf.d/10-ssl.conf. 그런 다음 포함 된 줄을 찾아 ssl_protocols다음과 일치하는지 확인하십시오.

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

완료되면 Dovecot을 저장하고 다시 시작하십시오.

CentOS 7 :

systemctl restart dovecot

우분투 / 데비안 :

service dovecot restart

SSLv3가 비활성화되었는지 테스트

웹 서버에서 SSLv3이 비활성화되어 있는지 확인하려면 다음 명령을 실행하십시오 (도메인 및 IP 교체).

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

다음과 유사한 출력이 표시됩니다.

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

서버가 TLS를 사용하고 있는지 확인하려면 동일한 명령을 실행하지만 다음을 수행하지 마십시오 -ssl3.

 openssl s_client -servername example.com -connect 0.0.0.0:443

유사한 정보가 표시되어야합니다. Protocol회선을 찾아서 사용 중인지 확인 TLSv1.X하십시오 (구성에 따라 X가 1 또는 2 임). 이 메시지가 표시되면 웹 서버에서 SSLv3을 비활성화 한 것입니다.