2015년 1월 20일 중요 패치 업데이트 릴리스(JDK 8u31, JDK 7u75, JDK 6u91 이상)부터 Java Runtime Environment에 기본적으로 SSLv3가 사용 안함으로 설정됩니다. 이러한 릴리스 이상을 실행 중임을 확인했으면 더 수행해야 할 작업이 없습니다.

이전 릴리스의 경우 Oracle은 애플릿, Web Start에 대한 SSLv3을 사용 안함으로 설정하기 위한 배경 및 지침을 아래에 제공했을 뿐 아니라 Java가 사용되는 모든 경우 Java 응용 프로그램이 Java SE에서 SSL v3.0을 사용하지 않도록 하는 방법에 대한 개발자 및 시스템 관리자를 위한 자세한 지침을 OTN에 제공했습니다.

배경

POODLE 취약점(CVE-2014-3566)이 SSL(Secure Socket Layer) v3 프로토콜의 심각한 결함을 표시했습니다. SSLv3 프로토콜은 더 이상 권장되지 않으며 위에 설명된 것처럼 Java Runtime Environment에서 사용 안함으로 설정되었습니다. SSLv3을 다시 사용으로 설정해야만 하는 사용자는 해당하는 릴리스 노트를 참조하십시오.

하지만 대부분의 사용자들은 브라우저(애플릿 및 WebStart)에서만 Java를 사용합니다. 아래에는 SSL 3.0이 사용으로 설정되어 있는지 확인하는 방법 및 사용 안함으로 설정하는 방법에 대한 간단한 지침이 나와 있습니다.

애플릿 및 WebStart에 대해 SSLv3 사용 안함

플러그인 및 WebStart의 Oracle Java 구현은 Java 제어판에서 구성할 수 있습니다.

고급 탭의 고급 보안 설정 섹션에서 다음과 같이 TLS만 사용으로 설정된 상태로 두고 모든 SSL 프로토콜/형식의 선택을 해제합니다. 2015년 1월 20일 릴리스부터 SSLv3은 선택 가능한 옵션으로 표시되지 않습니다.

주: 브라우저가 열린 상태에서 제어판을 통해 변경된 내용은 브라우저를 재시작한 후에만 적용됩니다. 변경 내용을 적용하려면 Java WebStart 응용 프로그램도 재시작해야 합니다.

Java 제어판 - 8u31, 7u75, 6u91 이전 버전

2015년 1월 중요 패치 업데이트 릴리스에 대한 자세한 내용은 해당 릴리스 노트에서 확인할 수 있습니다.

• Java 8 Update 31(OTN 릴리스 노트)
• Java 7 Update 75(OTN 릴리스 노트)
• Java 6 Update 91(OTN 릴리스 노트)