"ERR_SSL_VERSION_OR_CIPHER_MISMATCH" 오류

기술자료, 설치/적용 이슈 주요 사례
◾ Sectigo PositiveSSL ▷ 22% 가격 할인 프로모션 진행중. 자세히보기

본 내용은 일반 웹브라우저 사용자를 위한 설명 내용이 아닙니다. (필요시, 본 페이지 URL 과 함께, 접속시 경고가 발생한 웹사이트 관리자에게 문의) '서버관리자 / 개발자 / 웹디자이너' 등에 필요한 기술적 내용입니다.

--------

최근 웹브라우져에서는 웹서버의 암호화 알고리즘중에 RC4 와 같은 오래되었거나 또는 취약점이 있는 저수준의 알고리즘으로 협상이 될때, 연결을 차단하고 있습니다. (예. 구글 크롬 48 버젼부터 작동하며, 그외 웹브라우져도 버젼/패치 업데이트시 적용 예정)

참고문서 https://googleonlinesecurity.blogspot.kr/2015/12/an-update-on-sha-1-certificates-in.html 

Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표하였으며,  Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기까지 SSL v2, v3 및 TLS 1.0, 1.1 기능을 완전히 삭제 완료 예정 입니다. 주요 벤더에서는 2019년내에 반영을 완료할것으로 예상됩니다.


■ 조치 방법은, 웹서버에서 설정(허용,가능한)된 암호화 알고리즘중, 취약한(오래된) 알고리즘 사용을 해제(비활성화)해야 합니다. 최근(2019기준)에는 최소 TLS 1.2 가 최우선으로 권장되고 있습니다.  (SSL 3.0, TLS 1.1 같은 버전 해제 권장) (오래된 서버는, 아예 최신 버전으로 업그레이드 해야 할수도 있습니다) (웹브라우저 버전이 업데이트 될때마다, 서버 설정도 지속적으로 업데이트 필요)

(SSL 인증서 자체가 잘못된 것으로 판단하는 서버운영자/웹개발자가 많습니다. 서버 자체 암호화 모듈 버젼/설정 - 클라이언트 암호 수준 협상 문제입니다. - SSL 인증서와 직접적으로 관련 없음, 서버에는 웹서버 뿐만 아니라 앞단 보안 장비도 해당)

 

[Apache]
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
https://www.devside.net/wamp-server/disabling-sslv3-in-apache-by-setting-sslprotocol-be-aware-of-virtualhost-issue

[Tomcat]
https://blog.eveoh.nl/2014/02/tls-ssl-ciphers-pfs-tomcat/
http://serverfault.com/questions/637649/how-do-i-disable-sslv3-support-in-apache-tomcat

[IIS]
https://support.microsoft.com/en-us/kb/2868725 
https://samrueby.com/2015/06/08/how-to-disable-sslv3-and-rc4-ciphers-in-iis/ 
http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx 

 

그외 웹서버들도 각 개발사의 공식 문서를 참고하여 환경에 적합하게 조치를 취해야 합니다. (서버/보안장비의 '환경 또는 상황' 에 따라서 밸런스 있는 설정 권장)

 

[기타 참고자료]

▶ 웹서버의 SSL 관련 설정 자동 생성기 https://ssl-config.mozilla.org/
▶ User Agent Capabilities https://www.ssllabs.com/ssltest/clients.html
▶ SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html

▶ TLS 1.0 1.1 1.2 1.3 Protocol Compatibility (Browsers, Desktop, Mobile, Servers, Libraries)
   https://support.globalsign.com/customer/portal/articles/2934392-tls-protocol-compatibility

 

컨텐츠의 무단 전제복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.