Apache, NginX, Lighttpd, Tomcat 등 웹서버 SSL Cipher Suite 설정 권장 값

기술자료, 설치/적용 이슈 주요 사례

SSL v2, v3 등은 취약하므로 권장되지 않습니다. 최근(2018년 기준) 에는 TLS 1.0 1.1 버젼도 사용을 권장하지 않고 있습니다. 물론 오래된 SSL/TLS 버젼을 해제하면, 일부 오래된 디바이스에서 접속이 되지 않을 수 있으므로  해당 웹서버에 접속하는 클라이언트 환경을 고려할 필요가 있습니다.

Cipher Suite 값은, 서버 버전이 업데이트되거나 또는 웹브라우저 버전이 업데이트 되는 경우, 호환성 문제가 발생할수도 있습니다. 그러므로 네트워크 환경 변화에 따라 Cipher Suite 값도 적절히 변경을 해주는 것이 좋습니다. (설정 당시에는 문제가 없었으나, 미래에는 오류가 발생할수도 있음 > 어제까지 잘 작동했는데 다음날 갑자기 오류 발생 가능)


웹브라우저에 표시되는 호환성 오류 표시 예: (표시 문구는 웹브라우저 마다 조금씩 상이)
ERR_SSL_VERSION_OR_CIPHER_MISMATCH, ERR_SSL_PROTOCOL_ERROR


#Apache 예

SSLProtocol   all -SSLv2 -SSLv3   또는  SSLProtocol TLSv1 TLSv1.1 TLSv1.2
SSLCipherSuite   EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

 

#NginX 예

ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers   EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

 

위와 같은 Cipher Suite 값도 시간이 지남에 따라 더 이상 맞지 않을수도 있습니다.

웹서버에 Cipher Suite 설정 후, 웹서버 콘솔 로그에서 오류가 있는지와 주요 웹브라우져에서 이상 없이 접속이 되는지 꼭 확인 테스트를 해야 합니다. 최신 암호화 모듈이 작동하지 않는 경우, openssl / java 버전 업그레이드가 필요할수도 있습니다.



각 웹서버별 권장 Cipher Suite 등 관련 추가 정보는 아래 링크를 참조해 보시기 바랍니다. (아래 생성기에서 만들어진 값이 꼭 정답은 아님 > 각자 시스템 환경을 분석/검토하여 밸런스 있게 커스텀 조정하는 것이 권장됨)

https://cipherli.st/

https://ssl-config.mozilla.org/ (SSL 설정 자동 생성기 - 활용 권장)

 

 

[참고자료]

▶ User Agent Capabilities https://www.ssllabs.com/ssltest/clients.html
▶ SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html

▶ TLS 1.0 1.1 1.2 1.3 Protocol Compatibility (Browsers, Desktop, Mobile, Servers, Libraries)
   https://support.globalsign.com/customer/portal/articles/2934392-tls-protocol-compatibility


* Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표하였으며,  Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기까지 SSL v2, v3 및 TLS 1.0, 1.1 기능을 완전히 삭제 완료 예정 입니다. 주요 벤더에서는 2019년내에 반영을 완료할것으로 예상됩니다. *

 

컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.