인증서(SSL)

2022.02.11 18:08

apache SSL 인증서 TLS1.2 프로토콜 지원

  • 비아웹 오래 전 2022.02.11 18:08 인기
  • 3,317
    0
https 에 사용되는 SSL 프로토콜 중 TLS 1.1 버전의 지원 중지가 얼마 남지 않았습니다. 


1. TLS1.1 버전 취약점

POODLE과 BEAST 공격등에 대해 취약하며, 프로토콜 취약점을 이용한 하이재킹(hijacking) 이 발생 가능하여, IE, 크롬, 사파리 등의 브라우져에서 해당 버전의 지원이 중지됩니다..

2. TLS 1.2 지원을 위한 apache 및 openssl 버전

apache 2.2.23 이상 / openssl 1.0.1 이상

3. apache 환경 설정 파일에서 TLS 1.2 설정 방법

SSLProtocol -all +TLSv1.2
: -all ssl 프로토콜 모두 제외
: +TLSv1.2 TLS 1.2 버전 추가

4. openssl TLSv1.2 지원 확인

[root@viaweb html]# openssl ciphers -v | grep TLSv1.2
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256) Mac=SHA384
ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256) Mac=SHA384
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
DHE-DSS-AES128-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(128) Mac=SHA256
ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128) Mac=SHA256
ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128) Mac=SHA256
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256

5. TLS 1.2 버전 지원을 위한 apache 권장 버전

apache 2.2.23 이상 버전부터 +TLSv1.2 설정 가능

# apache 2.2.15 버전의 경우 지원은 하나 상세 설정 불가능
 SSLProtocol의 +TLSv1.2 가 설정되지 않으며, +TLSv1 만 가능

6. TLS 1.2 지원을 위한 openssl 권장 버전

1.0.1g 이상 버전

OpenSSL 1.0.1 Heartbleed 버그 패치가 1.0.1g에 적용되어, 해당 1.0.1g 이후 버전 권장드립니다.

7.TLS 1.2 지원을 위한 최소 apache / openssl 버전

apache

2.2.23

openssl

1.0.1g

감사합니다.

서버호스팅 비아웹입니다.

  • 공유링크 복사

    댓글목록

    등록된 댓글이 없습니다.