[보안공지]공기업 SSL 보안 취약점 > 공지사항

본문 바로가기주메뉴 바로가기

> 고객지원/이벤트 > 공지사항

공지사항

/var/www/certkorea/skin/board/notice/view.skin.php
공지사항
  • 관리자
  • 16-09-09 14:35
  • 50,057

[보안공지]공기업 SSL 보안 취약점

본문

공기업 SSL 보안 취약점 관련 뉴스가 최근 등록되어 공기업 Poodle Drown 관련 SSL 보안 취약점 공지사항 입니다. 
Poodle Drown 취약점은 SSLv3(Poodle), SSLv2(Drown) 관련 취약점으로, 서버에서 SSLv2 SSLv3 를 사용하지 않도록 설정해야 합니다.
 

openssl 1.0.1s / 1.0.2g 버전이상으로 업데이트 필요합니다. 

[ Apache ]
- ssl.conf 혹은 httpd-ssl.conf 파일에서 SSLProtocol 항목으로 SSLv2, SSLv3 disable SSLProtocol All -SSLv2 -SSLv3  

[ Webtob ]
- http.m 파일의 SSL 설정부분에서 SSLCertificateFile/SSLCertificateKeyFile/SSLCACertificateFile 항목 다음에 아래의 항목을 추가
Protocols = "-SSLv2, -SSLv3"
 

[ IIS ]
1. 시작 > 실행 > regedt32 혹은 regedit 입력
2. 레지스트리 편집기에서
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server 폴더로 이동
편집 > 새로만들기 메뉴에서 DWORD 값 선택 새 값의 이름을 Enabled로 설정하고 값은 “0” 으로 설정
3. HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 2.0\Server 폴더에서도 동일하게 처리
4. 서버 재시작

  

문의사항은 02-3444-2750 으로 연락주시기 바랍니다.