DROWN 취약점이란  “Decrypting RSA with Obsolete and Weakened eNcryption: 취약한 구식 암호화법을 통한 RSA 복호화”에서 따온 이름으로, SSLv2취약점을 악용한 교차 프로토콜 공격입니다.

http://blog.alyac.co.kr/554

POODLE 과 RC4 관련 취약점 들을 제거하더라도 Openssl 관련 취약점이 계속 나오고 있다.

Heartbleed 는 시작이었다.

apache2 현재 Apache/2.2.22 (Ubuntu)  OpenSSL 1.0.1 14 Mar 2012 에서 아래 옵션을 사용해 봤으나 TLSv1.1 이 잘 못 되었다는데, 해결은 추후에 해야겠다.

SSLProtocol -all +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!MD5:!SSLv2:!SSLv3:!TLSv1

RC4는 

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

위와 같이 하면 된 듯 하다.

보안서버가 아래와 같이 무료로 사용할 수 있지만, 설정에 따라 취약할 수 있으니, 이 점에 주의해야 한다.

무료 점검 해주는 사이트들이 많아 좋기는 한데, 설정을 강화해야 하는 번거로움이 있다.

 

	COMODO	Lets encrypt	Start SSL
금액	도메인 당 5만원 내외	무료	무료
사용기간	2년/1년	3개월(90일)	1년(365일)
의존성		openssl, git, python, gcc, etc…..(자동설치)
발급기관	verisign, comodo, …..	Mozilla, …….. sponsored by Google, Facebook, CISCO….	StartCom
지원서버	Apache, nginx, IIS, …..	Apache, nginx, iis(unstable), ?	Apache, IIS, …..
멀티도메인	별도 지원	일반적으로 어려움	유료 지원