이러한 모든 인터넷 재앙이 발생하는 즉시 우리의 마음을 감싸는 것은 어렵습니다. Heartbleed와 Shellshock이 "우리가 알고있는대로 생명을 앗아간 다"고 위협 한 후 인터넷이 다시 안전하다고 생각했던 것처럼 POODLE이 나옵니다.
소리만큼 위협적이지 않으니 너무 신경 쓰지 마세요. 진실은 우려해야 할 문제이지만 자신을 보호하기 위해 취할 수있는 간단한 조치가 있습니다.
POODLE은 무엇입니까?
1 층부터 시작하겠습니다. POODLE은 무엇입니까? 먼저 " 다운 그레이드 된 레거시 암호화에서 Oracle 채우기 .” 보안 문제는 이름에서 알 수 있듯이 오래된 암호화 형식을 악용 할 수있는 프로토콜 다운 그레이드입니다. 이 문제는 이번 달 Google에서 'This POODLE Bites : Exploiting The SSL 3.0 Fallback'이라는 논문을 발표하면서 전 세계의 주목을 받았습니다.
간단히 설명하기 위해 중간자 공격을 사용하는 공격자가 공용 핫스팟에서 라우터를 제어 할 수있는 경우 브라우저를 SSL 3.0 (이전 프로토콜)으로 다운 그레이드 할 수 있습니다. 훨씬 더 현대적인 TLS (Transport Layer Security)를 사용한 다음 SSL의 보안 허점을 이용하여 브라우저 세션을 가로 채십시오. 이 문제는 프로토콜에 있기 때문에 SSL을 사용하는 모든 것이 영향을받습니다.
서버와 클라이언트 (웹 브라우저)가 모두 SSL 3.0을 지원하는 한 공격자는 프로토콜을 강제로 다운 그레이드 할 수 있으므로 브라우저가 TLS를 사용하려고해도 SSL을 대신 사용하게됩니다. 유일한 대답은 양쪽 또는 양쪽 모두 SSL 지원을 제거하여 다운 그레이드 될 가능성을 제거하는 것입니다.
주로 집에서 탐색하고 공개 핫스팟을 사용하지 않는 경우 손상 가능성이 매우 낮으며 문서 뒷부분에 설명 된 간단한 조치를 취하여 자신을 보호 할 수 있습니다. 공용 핫스팟을 자주 사용하는 경우 VPN 사용 고려 .
문제를 어떻게 해결할 수 있습니까?
SSL 문제를 해결할 방법이 없기 때문에 유일한 해결책은 브라우저 제조업체와 웹 서버가 모든 것을 업그레이드하여 SSL 지원을 제거하고 TLS 암호화 만 요구하는 것입니다.
Google과 Firefox는 이미 향후 지원을 제거 할 것이라고 발표했으며 Microsoft에서 아직 같은 소식을 듣지 못했지만 최종 사용자가 IE에서 SSL 3.0을 비활성화하는 것은 매우 쉽습니다. 대부분의 대형 웹 회사는이 문제가 드러난 후 SSL 지원을 제거하고 있지만 모두가 그렇게하는 데는 시간이 걸립니다.
소비자는 아래에 설명 된 방법 중 하나를 사용하여 브라우저에서 SSL 지원을 제거 할 수 있습니다. 또는 Firefox 또는 Google Chrome을 사용하고 있고 항상 핫스팟을 사용하지 않는 경우 브라우저가 업데이트 될 때까지 기다릴 수 있습니다. 또는 직접 문제를 해결했는지 확인할 수 있습니다.
Mozilla Firefox에서 SSL 3.0 비활성화
Mozilla Firefox 사용자 인 경우 SSL 3.0 문제는 Fireox 34가 출시되는 2014 년 11 월 25 일에 해결됩니다. 한 가지 문제는 아직 11 월이 아니기 때문에 지금 자신을 보호하기위한 조치를 취해야한다는 것입니다. Firefox 브라우저를 열고 다음으로 이동하여 시작하십시오. SSL 버전 제어 Firefox의 다운로드 페이지.
성공적으로 설치되면 탐색 표시 줄에 "about : addons"를 입력하고 "SSL 버전 제어"확장을 선택할 수 있습니다. "옵션"을 클릭하여 확장에 대한 설정을 볼 수 있습니다. "자동 업데이트"가 켜져 있고 "최소 SSL 버전"이 "TLS 1.0"으로 설정되어 있는지 확인합니다.
Firefox 34가 출시 된 후 확장 기능을 비활성화하거나 제거 할 수 있습니다.
Google 크롬에서 SSL 3.0 비활성화
Chrome 사용자 인 경우 SSL 3.0은 아직 날짜를 설정하지 않았더라도 향후 몇 달 내에 사용 중지 될 것이므로 안심할 수 있습니다. 지금 자신을 보호하고 싶다면 몇 가지 간단한 단계로 수행 할 수 있습니다. Google 크롬 바탕 화면 아이콘으로 이동하여 마우스 오른쪽 버튼으로 클릭 한 다음 팝업 메뉴 하단의 "속성"을 선택하십시오.
"속성"창에 "대상"이라는 텍스트 입력 상자가 표시됩니다. 이 상자를 클릭하고 키보드의 "종료"버튼을 누르기 만하면됩니다. 다음으로 "Spacebar"를 누르고이 텍스트를 복사하여 끝에 붙여 넣으십시오.
--ssl-version-min = tls1
“적용”을 누른 후 팝업 창에서“계속”을 클릭 한 다음“확인”을 누르십시오.
이제 브라우저는 SSL 3.0 인증서를 자동으로 거부하고 TLS 1.0 이상 만 허용합니다. 컴퓨터의 다른 바로 가기를 통해 Chrome을 실행하면이 플래그를 사용하지 않습니다.
Internet Explorer에서 SSL 3.0 비활성화
Microsoft는 SSL 3.0 문제를 해결할 계획을 아직 발표하지 않았으므로 "시작"메뉴를 열고 "인터넷 옵션"을 입력하여 직접 비활성화하는 것이 가장 좋습니다.
"고급"탭으로 이동하여 SSL 및 TLS 옵션이 표시 될 때까지 "보안"섹션까지 아래로 스크롤 한 다음 SSL 3.0 사용 옵션을 선택 취소하고 대신 TLS를 활성화합니다.
이렇게하면 잠재적 인 POODLE 공격으로부터 인터넷 브라우저가 모두 안전하다는 것을 확신 할 수 있습니다.
이미지 크레딧 : Flickr의 Karen
