KnowledgeBase 기술자료, 설치/적용 이슈 주요 사례

Apache, NginX, Lighttpd, HAProxy 등 웹서버 SSL Cipher Suite 설정 권장 값

SSL v2, v3 등은 취약하므로 권장되지 않습니다. 최근에는 TLS 1.0 1.1 버젼도 사용을 권장하지 않고 있습니다. 물론 오래된 SSL/TLS 버젼을 해제하면, 일부 오래된 디바이스에서 접속이 되지 않을 수 있으므로  해당 웹서버에 접속하는 클라이언트 환경을 고려할 필요가 있습니다.

 

#Apache

SSLProtocol   all -SSLv2 -SSLv3   또는  SSLProtocol TLSv1 TLSv1.1 TLSv1.2
SSLCipherSuite   EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

 

#NginX

ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers   EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

 

웹서버에 설정 후, 웹서버 콘솔 로그에서 오류가 있는지와 주요 웹브라우져에서 이상 없이 접속이 되는지 꼭 확인 테스트를 해야 합니다. 최신 암호화 모듈이 작동하지 않는 경우, openssl / java 환경을 업그레이드할 필요가 있습니다.

 

추가 권장 사항 및 그외 웹서버는 아래 웹사이트를 참조해 보시기 바랍니다.

https://cipherli.st/

https://ssl-config.mozilla.org/ (활용 권장)

 

 

[참고자료]
User Agent Capabilities https://www.ssllabs.com/ssltest/clients.html
SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html

 

* Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표하였으며,  Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기까지 SSL v2, v3 및 TLS 1.0, 1.1 기능을 완전히 삭제 완료 예정 입니다. 주요 벤더에서는 2019년내에 반영을 완료할것으로 예상됩니다. *