SSL 3.0 vulnerability 에 따른 browser별 고쳐주어야 할 일들

얼마전 사용하고 있는 KG 이니시스로 부터 브라우저들에서 몇가지 옵션들을 더하거나 빼라는 메일을 받았다. 자세한 내용은 검색하여 보지 않았지만, SSL 3.0이 뚤렸다고 생각하고, 눈에 보이는 브라우져들은 가능한 손을 봐둘 생각이다. 그런데, 파라미터를 항상 기억하여 두기 어려우므로, 이곳에 메모를 남겨 두어야 하겠다.

1. IE

Internet option > Advanced > SSL 2.0 과 SSL 3.0을 disable

몇가지 더 해주어야 할 일들은 아래의 참조를 살펴보라

2. Chrome

command parameter에 --ssl-version-min=tls1 를 추가함

참고삼아서,

--single-process -purge-memory --ssl-version-min=tls1 혹은

--process-per-site -purge-memory --ssl-version-min=tls1 를 추가하여 두고 사용하는 것이 좋다.

업데이트등에 따른 파라미터가 없어지는 것이 걱정된다면, batch 화일을 하나 만들어,

"C:\Program Files\Google\Chrome\Application\chrome.exe"  --process-per-site -purge-memory --ssl-version-min=tls1

3. Firefox

about:config 를 하여, security.tls.version.min 를 찾은 후 1 로 고침.

4. Opera

• 12.16 (presto engine) : opera:config#SecurityPrefs|EnableSSLv3 , Uncheck Enable SSL v3, Click Save and restart Opera
• blink engine : same as chrome, maybe

5. Microsoft Windows

위에서 Internet Explorer에서 SSL3를 막았지만, Microsoft의 권고안의 다른 내용들도 살펴보자.

Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy

1. Group Policy Management를 연다
2. group policy object를 선택한다.
3. Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Advanced Page -> Turn off encryption support 로 들어간다. 우리말로는 컴퓨터 구성 > 관리 템플릿 > Windows 구성요소 > Internet Explorer > 인터넷 제어판 > 고급페이지 > 암호화 지원끄기
4. 암호화 지원끄기(Turn off Encryption Support setting)를 선택한다.
5. Enabled를 선택한다.
6. Options window에서 Secure Protocol중 "Use TLS 1.0, TLS 1.1, and TLS 1.2".를 선택한다.
7. OK를 누른다.

Disable SSL 3.0 in Windows For Server Software and Client Software

https://technet.microsoft.com/library/security/3009008 를 참조하여 작업을 하여도 좋지만, 첨부한 reg화일(disable_SSL3_reg.zip)을 다운로드 받아서 사용하여도 된다.
효과 : This workaround will disable SSL 3.0 for all server software installed on a system, including IIS. And this workaround will disable SSL 3.0 for all client software installed on a system.

참조

• http://www.ghacks.net/2014/10/15/ssl-3-0-vulnerability-discovered-find-out-how-to-protect-yourself/
• Microsoft 보안권고 3009008 : https://technet.microsoft.com/en-us/library/security/3009008.aspx
• http://superuser.com/questions/826729/disable-sslv3-in-major-browsers
• http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/