Linux Redhat 서버에서 보안 검사를 실행했는데 그 결과 다음과 같은 취약점이 나타났습니다.
SSL 지원 서버는 중간 강도의 SSL 암호화 인증서/비밀번호를 지원합니다.
httpd.conf 파일에 다음 비밀번호를 추가합니다.
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
이는 다음의 약어입니다.
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
프로토콜을 비활성화하는 줄도 있습니다:
SSLProtocolDisable SSLv2 SSLv3
그런 다음 httpd를 다시 시작하고 또 다른 스캔을 실행했지만 취약점은 그대로 유지되었습니다. 내가 여기서 무엇을 놓치고 있는 걸까요?
답변1
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA ... SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
오늘날 RC4 암호는 약한 암호로 간주됩니다. 3DES라도 다시 사용하지 않는 것이 가장 좋습니다. 나는 다음을 추천한다모질라에서 추천함서버를 올바르게 구성하십시오.