POODLE (SSLv3)

다운그레이드 레거시 암호화에 Oracle 패딩

관련된 오류

“이 서버는 SSLv3 프로토콜을 사용하고 있으며 Poodle (SSLv3) 공격에 취약합니다. 서버에서 SSLv3을 사용 중지합니다."

문제점

2014년 Google 연구자들은 SSL 3.0 프로토콜에서 취약성을 발견하여 "POODLE"(Padding Oracle On Downgrading Legacy Encryption) 취약성이라고 이름을 붙였습니다.

SSL 3.0 프로토콜을 사용하는 동안 MITM(man-in-middle-attack) 공격으로 암호화된 연결을 가로채서 가로챈 연결의 일반 텍스트를 계산할 수 있습니다.

SSL 3.0 취약성/보안 결함:

  • 메시지 무결성이 안전하지 않음
  • MITM(man-in-the-middle) 공격에 취약

POODLE 공격을 막는 가장 효과적인 방법은 SSL 3.0 프로토콜을 사용 중지하는 것입니다.

솔루션

서버 쪽

서버에서 SSL 3.0 프로토콜을 사용 중지하고 TLS 1.2 또는 1.3을 사용합니다.

클라이언트 쪽

추가적으로 DigiCert는 클라이언트 쪽에서 SSL 3.0 프로토콜을 사용 중지하고 TLS 프로토콜을 사용하는 것을 권장합니다.