웹/리눅스 서버에서의 TLS / SSL 버전 확인 및 설정 방법 (SSL Labs)요즘은 웹/리눅스 서버를 운영하면서 사실..이런 요구가 오기전에 미리미리 보안에 대한 중요성을 인식하고 대비하는 것이 더 좋겠죠. TLS / SSL의 버전을 확인하는 방법은 크게 두가지로 구분됩니다.
먼저,
자~~ 위에서 사용법을 보셨죠?
이걸 토대로 사이트의 프로토콜 버전을 확인하는 명령어를 만들어서 실행해 볼까요?
사이트의 SSL3 버전 확인 방법 naver.com의 SSL3 프로토콜 버전 확인을 해볼까요?
사이트의 TLSv1.2 확인 방법 특정 사이트에 대한 TLSv1.2 확인 방법
위에서는 openssl 명령어를 통해서 확인하는 방법을 알아봤구요. Qualys SSL Labs. SSL Server Test Qualys SSL Labs 사이트에 접속하셔서 접속하신 후 아래의 Hostname에 입력 하신 후 'Submit' 버튼을 누르시면 알아서 확인해줍니다. 자~~ Summary SSL Report의 결과를 요약해서 보여줍니다.
따끈한 결과 리포트가 나왔습니다. 왜 B등급을 받았는지를 아래의 표로 확인해볼까요? SSL Labs Grade Change for TLS 1.0 and TLS 1.1 Protocols
Existing Grades Sample (기존 등급 샘플)
Future Grades Sample (향후 등급 샘플)
Certificate SSL 인증서에 대한 정보를 보여줍니다. Additional Certificates 만약에 제공된다면.... 추가적인 인증서의 정보들을 보여줍니다. Certification Paths Configuration 우리가 보려고했던 Protocols의 정보가 보이는군요. Cipher Suites 암호화 스위트(Cipher Suite)는 전송 계층 보안(Transport Layer Security, TLS)에서 쓰이는 인터넷 보안 보조 알고리즘이다. 일반적으로 다음과 같은 구조를 가지고 있다. TLS 1.0/TLS 1.1/TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS 1.3 TLS_AES_128_GCM_SHA256 Handshake Simulation Handshake 에 대한 시뮬레이션 정보를 보여줍니다. 핸드셰이킹(handshaking), 주고받기는 정보기술과 전기통신 및 관련 분야에서 채널에 대한 정상적인 통신이 시작되기 전에 두 개의 실체 간에 확립된 통신 채널의 변수를 동적으로 설정하는 자동화된 협상 과정이다. 채널의 물리적인 확립이 잇따르며, 정상적인 정보 전송 이전에 이루어진다. Protocol Details Protocol의 상세 정보를 보여줍니다. HTTP Requests HTTP 요청 정보들을 보여줍니다. Miscellanceous 테스트 날짜와 경과시간 등의 정보를 보여줍니다. SSL Report v2.1.10 해당 Report를 만드는데 사용된 버전이 2.1.10이라는 군요. 사이트 접속 주소 Qualys SSL Labs. SSL Server Test : https://www.ssllabs.com/ssltest/ SSL Server Test (Powered by Qualys SSL Labs) SSL Server Test This free online service performs a deep analysis of the configuration of any SSL web server on the public Internet. Please note that the information you submit here is used only to provide you the service. We don't use the domain names or www.ssllabs.com 브라우저 TLS 1.0, TLS 1.1 프로토콜 지원 중단주요 브라우저별 TLS 1.0/1.1 통신 지원 중지 관련하여 브라우저사별 TLS 1.0/1.1 지원 중단 버전이 공지 되었습니다. [브라우져별 TLS 1.0, TLS 1.1 중단 버전]
[서버별 TLS 지원 버전]
TLS 프로토콜 버전 설정 방법 (취약점 조치)
Security/Server Side TLS - MozillaWiki Recommended configurations The Mozilla SSL Configuration Generator Mozilla maintains three recommended configurations for servers using TLS. Pick the correct configuration depending on your audience: Modern: Modern clients that support TLS 1.3, with no nee wiki.mozilla.org Apache 서버에 대한 TLSv, SSLv 설정 방법 설정 위치 SSL이 적용된 conf 파일의 VIrtualHost부분에 권장 설정 추가 or 수정
설정 방법
Apache 서버에 대한 SSLv, TLSv 설정예
JBoss Web 서버에 대한 TLSv, SSLv 설정 방법 설정 위치 사용자의 설치 위치마다 다르겠지만, 저의 경우에 설정파일 (standalone.xml)의 위치는 다음과 같습니다.
JBoss SSLv, TLSv 설정예
Oracle Http Server에 대한 TLSv 설정 방법 설정 위치 ssl.conf 파일의 SSL이 적용된 virtualhost부분에 TLSv에 대한 설정을 수정/추가 해주세요.
Oracle Http Server의 TLSv 설정예
IBM Http Server에 대한 TLSv, SSLv 설정 방법 설정 위치 httpd.conf 파일의 SSL이 적용된 virtualhost부분에 TLSv, SSLv에 대한 설정을 수정/추가 해주세요.
IBM Http Server의 TLSv 설정예
Nginx (OpenSSL 1.0.1 이상) Server에 대한 TLSv 설정 방법 설정 위치 nginx.conf 파일의 SSL이 적용된 server 설정 부분에 TLSv에 대한 설정을 수정/추가 해주세요.
Nginx Server TLSv 설정예
참고 링크 : https://mozilla.github.io/server-side-tls/ssl-config-generator/ Redirecting to ssl-config.mozilla.org... mozilla.github.io IIS (Win 2008 R2 이상) Server에 대한 TLSv 설정 방법 설정 위치 : 레지스트리 2곳
위의 레지스트리 2곳에 키 값을 모두 생성해줍니다. 이후 나머지 폴더 (TLS 1.1, TLS 1.0 등)의 Ebanled 값은 0으로 수정하여 최종적으로 TLSv1.2만 사용하도록 설정합니다. Tomcat (Java 1.7 이상) Server에 대한 TLSv 설정 방법 설정 위치 server.xml 파일의 SSL이 적용된 connector 설정 부분에 TLSv에 대한 설정을 수정/추가 해주세요.
Tomcat Server TLSv 설정예
Weblogic (Java 1.7 이상) Server에 대한 TLSv 설정 방법 설정 위치 설정 파일의 WebLogic 시작 매개 변수에 아래와 같이 TLSv에 대한 설정을 수정/추가 해주세요.
WebtoB Server에 대한 TLSv 설정 방법 설정 위치 설정 파일의 WebtoB의 config 설정에 아래와 같이 TLSv에 대한 설정을 수정/추가 해주세요. |