CentOS6.6에서 웹 서버 SSL 보안 대책

이 페이지는 오래되었습니다. 개정판을 만들었습니다. 이 페이지의 대책 방법으로는 SSLlab의 평가가 나쁜 채로 있습니다.

htps : // 이 m / 쿠타 마츠모토 / / ms / f93286fc82 에c9
CentOS6.9/CentOS7.4에서 웹 서버 SSL 보안 대책

이하 오래된 기사입니다.

1. 소개
최근 웹 서버의 SSL 관계의 보안 보고가 많습니다만, 많이 있어 잘 모르기 때문에, 체크 툴을 사용해 보았습니다.

htps //w w.ぁbs. 이 m/sl 하고 st/그리고 x. HTML
SSL Server Test

2. 관리하에 있는 웹 서버를 검사해 보았다.
관리되는 서버는 모 대학의 웹 서버, OS는 CentOS6.6 (RedHatEL6.6 호환), 웹 서버는 OS 표준 Apache, SSL 인증서는 UPKI

htps : // 우p 키포 rta l. 네. 아 c. jp/
UPKI 이니셔티브

를 사용하고 있습니다.

웹 서버(OS 표준의 apache)의 SSL 주위의 설정(/etc/httpd/conf.d/ssl.conf)은 UPKI의 서버 증명서의 설정만으로, 그 이외는 OS의 default인 채입니다.

그래서 검사해 본 결과.

평가는 C.


주요 실점은 Protocol에서 SSL3가 좋지 않다. Cipher에서 RC4라든지 여러가지 화가 났습니다.



3. SSL 구성 파일 ((/etc/httpd/conf.d/ssl.conf) 수정

SSL3의 경우

SSLProtocol all -SSLv2 -SSLv3

ssl.conf에 상기의 가필 「-SSLv3」

Cipher의 경우,

TLS_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
TLS_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 2048 bits (p: 256, g: 1, Ys: 256) FS WEAK 56

ssl.conf의 SSLCipherSuite에 「!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA」추가.

TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK 128
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK

ssl.conf의 SSLCipherSuite에 "!RC4"추가

위를 요약하면 CentOS6.6의 ssl.conf와의 차이는 다음과 같습니다.

$diff ssl.conf.20150719 ssl.conf
95c95
< SSLProtocol all -SSLv2
---
> SSLProtocol all -SSLv2 -SSLv3
100c100
< SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
---
> SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA

수정 후 OS를 재부팅하면 설정이 반영됩니다.

상기의 기술예에 대해서는 이하의 홈페이지가 참고가 됩니다.

ぃ tp // 코 m / 시온 _ 코 jp / ms / 99 211 세아 세 3f76c f
보안 등급 확인

htps : // 아세스 s. 레레 t. 이 m / 그럼 / 그래서 / 1232613
httpd에서 POODLE SSLv3.0 취약점 문제 해결 (CVE-2014-3566)

htps //w w. jp.ぇb 세쿠리 ty. sy 만나 c. 코 m / ぇ l 코메 / pdf / wp _ 코 _ ㅇ 1 thm. pdf
웹 서버 암호화 알고리즘을 선택하는 방법
6페이지의 표 1이 유용하다.

4. 수정 후 평가
아래와 같이 A-평정이 되었습니다.


Cipher에서 WEAK가 사라졌습니다.

그 밖에도 WEAK 포인트를 지적되고 있습니다만, 우선 여기까지 해 두었습니다(^^;;

5. 참고
진단 결과의 판정 결과의 모든 캡처입니다.

수정 전



수정 후



이상