SSLv2, SSLv3 제외 시키기(Apache, Nginx)

SSLv2, SSLv3 제외 시키기(Apache, Nginx)

- SSLv2, SSLv3는 보안에 취약 제외

CentOS는 /etc/httpd/conf.d/ssl.conf에 가상 호스트에 설정

<VirtualHost *:443>

    ServerName example.com
    ServerAlias www.example.com
    SSLEngine on
    # Dropping SSLv2, SSLv3, ref: POODLE
    SSLProtocol all -SSLv2 -SSLv3

    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    #SSLCipherSuite HIGH:!aNULL:!MD5
    SSLHonorCipherOrder on

    SSLCertificateFile /etc/pki/tls/certs/example.com.crt
    SSLCertificateKeyFile /etc/pki/tls/private/example.com.key
    #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

    ErrorLog logs/www-ssl-error_log
    TransferLog logs/www-ssl-access_log
    CustomLog logs/ssl_request_log \
        "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

1) 사용할 버젼 지정

# Dropping SSLv2, SSLv3, ref: POODLE
SSLProtocol all -SSLv2 -SSLv3

2) 명시적 지정

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

nginx

가상호스트에 SSL설정을 추가

server {

    listen 80;
    listen 443 ssl;
    server_name  example.com
    root         html;
    index index.html index.htm index.php;

    charset utf-8;

    ssl                  on;
    ssl_certificate      /etc/pki/tls/certs/example.com.crt;
    ssl_certificate_key  /etc/pki/tls/private/example.com.key;
    ssl_session_timeout  5m;
    # SSLv2, SSLv3는 보안에 취약하므로 사용하지 마세요
    ssl_protocols  TLSv1.2 TLSv1.1 TLSv1;
    # 사용하지 않을 암호 알고리즘은 !로 명시적으로 지정할 수 있습니다.(블랙리스트 방식)    
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_prefer_server_ciphers   on;
    location ~ /\.ht {
         deny  all;

}

1) 사용할 버전 지정 방식

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE

참조 :

https://lesstif.gitbooks.io/web-service-hardening/content/ssl-tls-https.html#http-https-전환