PCI 규정을 준수하려면 BEAST 공격으로부터 서버를 보호해야 합니다. 검사를 통과하도록 apache/openssl 설정을 올바르게 구성했지만 이러한 설정은 사이트의 https 측에서 안전하게 거래할 수 있는 클라이언트 브라우저를 효과적으로 제한합니다.
우리는 사용하고 있습니다Centos 6.5 최종, OpenSSL 1.0.1e-fips 2013년 2월 11일
OpenSSL에 특정 또는 모든 암호를 업데이트하거나 추가하는 방법에 대한 정보를 찾을 수 없습니다.
질문 1:암호화 제품군은 OpenSSL 프로그램 내에서 배포됩니까, 아니면 암호화 제품군 추가 기능입니까? 추가 기능인 경우 어떻게 업데이트합니까??
질문 2:최신 OpenSSL 버전으로 수동으로 업데이트하는 방법은 무엇입니까? 현재 openssl-1.0.1i? (CentOS는 최신 버전이라고 주장하지만 그렇지 않습니다.)
답변1
질문 1: 암호화 제품군은 OpenSSL 프로그램 내에서 배포됩니까, 아니면 암호화 제품군 추가 기능입니까? 추가 기능인 경우 어떻게 업데이트합니까?
암호화 제품군은 OpenSSL의 일부로 배포되므로 새 패키지에 액세스하려면 패키지를 업그레이드해야 합니다.
질문 2: 최신 OpenSSL 버전으로 수동으로 업데이트하는 방법은 무엇입니까? 현재 openssl-1.0.1i? (CentOS는 최신 버전이라고 주장하지만 그렇지 않습니다.)
Fedora 저장소에서 소스 RPM을 가져와 CentOS 6.5에서 빌드하거나 인터넷에서 CentOS 6.5용으로 사전 빌드된 RPM 중 하나를 사용할 수 있습니다.
CentOS 6.5의 설치 기반이 상당히 크고 패키지를 이미 사용할 수 있도록 하려면 다른 사람이 작업 중이어야 하기 때문에 후자를 선택하겠습니다.
또한 Red Hat이 OpenSSL을 사용하여 수행한 수정 사항의 백포트를 숙지하고 싶을 수도 있습니다. CentOS의 혈통을 고려하면 이러한 내용이 포함됩니다.
에서 발췌이 답변
Heartbleed 취약점에 대한 수정 사항은 Red Hat for Enterprise Linux에서 1.0.1e-16으로 백포트되었으므로 이는 CentOS에서 출시한 공식 수정 사항입니다.
답변2
OpenSSL은 도구 및 라이브러리 세트입니다. TLS 암호화 서비스를 제공하는 애플리케이션은 이러한 라이브러리를 사용합니다(일반적인 gnutls 또는 Java 라이브러리를 사용하지 않는 한).
암호화 제품군은 이러한 라이브러리에서 구현됩니다. 최신 암호 제품군이 필요한 경우 이 라이브러리를 업데이트해야 합니다. OS 저장소에 최신 항목이 없는 경우 저장소 URL을 대체 사이트나 더 높은 OS 버전으로 변경하면 문제가 해결될 수도 있지만(Debian에서는 이 작업을 성공적으로 수행했습니다), 이것이 가능할지는 모르겠습니다. CentOS를 사용하여 완료했습니다. 물론 미리 컴파일된 패키지를 찾거나 직접 컴파일할 수도 있습니다.
Apache 웹 서버의 비밀번호를 제한하려면 Apache의 ssl.conf를 이용하세요. 반면, 접미사의 비밀번호를 변경하려면 tls_high_cipherlist설정( 과 함께 사용 smtp(d)_tls_mandatory_ciphers=high)에서 비밀번호를 설정하세요.
한 서비스에서 안전하지 않다고 간주되는 것이 다른 서비스에서는 여전히 허용될 수 있으므로 이 구성 애플리케이션(=서비스)을 구체적으로 만드는 것이 합리적입니다.