OpenSSL은 메모리 루틴의 또 다른 새로운 취약점을 발표했습니다. https://www.openssl.org/news/secadv_20141015.txt 에서 모든 내용을 읽을 수 있습니다.
해결 방법은 SSLv3을 비활성화하는 것입니다.
- 웹 사이트에서 HTTPS가 완전히 비활성화됩니까?
- SSLv3을 사용하는 클라이언트는 여전히 어떤 클라이언트를 지원해야합니까?
답변
아니요. 웹 사이트에 대한 HTTPS 연결을 끊지 않습니다. TLSv1 (및 소프트웨어가 최신 버전 인 경우 최신 버전)은 거의 모든 브라우저에서 이미 사용하고 있습니다 (Windows XP의 IE6 제외).
구성에서 TLSv1이 사용되는지 확인하지만 기본적으로 거의 모든 서버 측 SSL 구성에 있습니다.
답변
예, SSLv3을 비활성화해야합니다. 푸들은 TLS가 실패하면 브라우저가 SSLv3과 같은 오래된 프로토콜을 사용하려고 시도하기 때문에 작동합니다. MITM은이를 악용 할 수 있습니다 (크롬 만 atm을 지원하는 클라이언트 및 서버가 새 TLS SCSV를 지원하지 않는 한). 푸들 공격에 대한 자세한 내용은 https://security.stackexchange.com/q/70719를 참조하십시오.
SSLv3은 여러 가지 방식으로 구분되며 문제를 처리하는 가장 좋은 방법은 15 년 전에 TLS로 대체되었으므로이를 비활성화하는 것입니다. 웹 사이트에서 SSLv3을 사용하고 XP의 IE6에 관심이없는 경우 (XP의 IE7이 좋음)이를 비활성화해도 안전합니다.
SSLv3 비활성화의 가능성은 관련 질문에 대해 논의 중입니다. 푸들 : 서버에서 SSL V3 비활성화는 실제로 솔루션입니까?
당신이 그것에있는 동안, 당신은 다른 문제가 있는지 확인하기 위해 사이트에서 테스트를 실행할 수 있습니다 https://www.ssllabs.com/ssltest/