방금 내 사이트를 스캔했습니다.이 도구내 사이트가 CVE-2014-0224에 취약하다고 나와 있었습니다. 어떻게 해결하나요?
새로운 인증서를 발급받아야 하나요? 제가 가지고 있는 제품은 enom에서 구입했습니다. 그들의 잘못인가요? 아니면 내 웹 서버(웹팩션)의 결함인가요?
또한 다음과 같이 말합니다.
더 강력한 암호를 사용할 수 있더라도 RC4 암호는 TLS 1.1 이상의 프로토콜과 함께 사용됩니다.
그리고
서버는 참조 브라우저에서 순방향 보안을 지원하지 않습니다.
이것이 모두 SSL 인증서의 결함인지 아니면 내 서버가 이를 올바르게 제공해야 하는지 모르겠습니다.
답변1
서버에서 OpenSSL 버전을 업그레이드해야 합니다. 취약점은 소프트웨어 코드 자체에 있습니다.
여기에서 자세한 내용을 읽을 수 있습니다.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
아니면 여기:
http://www.openssl.org/news/secadv_20140605.txt
편집: 중요한 텍스트는 다음과 같습니다.
OpenSSL 0.9.8 SSL/TLS 사용자(클라이언트 및/또는 서버)는 0.9.8za로 업그레이드해야 합니다.
OpenSSL 1.0.0 SSL/TLS 사용자(클라이언트 및/또는 서버)는 1.0.0m으로 업그레이드해야 합니다.
OpenSSL 1.0.1 SSL/TLS 사용자(클라이언트 및/또는 서버)는 1.0.1h로 업그레이드해야 합니다.
답변2
CVE-2014-0224에는 openssl 업데이트가 필요합니다.
더 강력한 암호를 사용할 수 있더라도 RC4 암호는 TLS 1.1 이상의 프로토콜과 함께 사용됩니다.
그리고
서버는 참조 브라우저에서 순방향 보안을 지원하지 않습니다.
단순한 웹서버 구성 문제입니다.
다음과 같은 것(아파치를 가정):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
에 의해 추천됩니다https://bettercrypto.org/ 암호화 강화를 적용했습니다. HTTP Strict Transport Security(hsts)의 사용은 문제를 일으키고 서버 부하를 크게 증가시킬 수 있으므로 신중하게 판단해야 합니다. 보안적인 측면에서는 권장됩니다.
귀하의 인증서는 아마도 괜찮을 것입니다. 하지만 이 인증서가 openssl의 심혈을 기울여 악용 가능한 버전과 함께 사용된 경우 인증서를 교체해야 합니다(손상될 수 있음).
그러나 openssl을 업그레이드하고 웹 서버를 구성하려면 수퍼유저 권한이 필요합니다. 공유 호스팅을 사용하는 경우 호스팅 회사에 문제 해결을 요청하는 것 외에는 할 수 있는 일이 없습니다. 그리고 그들은 아마 전혀 개의치 않을 것입니다.