Apache에서 TLS 설정
SSLv2 SSLv3 는 취약점이 많은 관계로 사용하지 않는것을 권장 또한 TLS1.0과 TLS1.1도 역시 취약점이 많은관계로 미사용 권장
근데 여기서 TLS는 뭔가?
TLS (Transport Layer Security) 클라이언트와 서버간의 통신을 보호하고 암호화하기 위해 사용되는 프로토콜 우리가 흔히 말하는
SSL 이라는 용어로 많이 사용
사용예시
|
1 |
SSLProtocol ALL -SSLv2 -SSLv3 |
지원하는 모든 프로토콜을 등록 후 SSLv2 와 SSLv3만 제외
|
1 |
SSLProtocol -all +TLSv1.2 +TLSv1.3 |
지원하는 모든 프로토콜을 제외 후 TLSv1.2 와 TLSv1.3 만 사용
apache tls 1.2 1.3 설정 ( tls 1.3 이상 지원하려면 apache 버전 최소 2.4.37 이상 / openssl 1.1.1 이상)
APACHE TLS 1.3 ENABLE 및 SSL 설정 —-> https://xinet.kr/?p=2000 페이지 참고
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
SSLProtocol -all +TLSv1.2 +TLSv1.3 SSLCipherSuite "TLS_AES_128_GCM_SHA256 \ TLS_AES_256_GCM_SHA384 \ TLS_CHACHA20_POLY1305_SHA256 \ ECDHE-ECDSA-AES128-GCM-SHA256 \ ECDHE-ECDSA-AES256-GCM-SHA384 \ ECDHE-ECDSA-AES128-SHA \ ECDHE-ECDSA-AES256-SHA \ ECDHE-ECDSA-AES128-SHA256 \ ECDHE-ECDSA-AES256-SHA384 \ ECDHE-RSA-AES128-GCM-SHA256 \ ECDHE-RSA-AES256-GCM-SHA384 \ ECDHE-RSA-AES128-SHA \ ECDHE-RSA-AES256-SHA \ ECDHE-RSA-AES128-SHA256 \ ECDHE-RSA-AES256-SHA384 \ DHE-RSA-AES128-GCM-SHA256 \ DHE-RSA-AES256-GCM-SHA384 \ DHE-RSA-AES128-SHA \ DHE-RSA-AES256-SHA \ DHE-RSA-AES128-SHA256 \ DHE-RSA-AES256-SHA256 \ EDH-RSA-DES-CBC3-SHA" |
nginx에서 TLS 1.2 1.3 설정 ( Nginx 에서 TLS 1.3 지원하려면 NGINX 1.13 이상 / openssl 1.1.1 이상 )
NGINX TLS 1.3 ENABLE 및 SSL 설정 —-> https://xinet.kr/?p=2765
|
1 2 3 4 |
##ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ## tls 1.0 tls 1.1 사용하려면 해당 부분 주석해제 아랫부분 주석 (보안상 미추천) ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:SRP-RSA-AES-128-CBC-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-GCM-SHA256; |
TLS 1.2 적용 최소 환경
– APACHE 2.2.22 이상
– Openssl 1.0.1 이상
– JAVA 7 이상
-Windows Server 2008 SP2 이상
구글 크롬, 애플 사파리, 마이크로 소프트 엣지, 인터넷 익스플로러, 모질라 파이어 폭스를 포함한 모든 주요 웹 브라우저가
TLS 1.0 (20 세) 및 TLS 1.1 (12 세) 통신에 대한 지원을 곧 해제한다고 발표했다. 암호화 프로토콜.
초기에 SSL (Secure Sockets Layer) 프로토콜로 개발 된 TLS (Transport Layer Security)는 클라이언트와 서버간에
안전하고 암호화 된 통신 채널을 설정하는 데 사용되는 업데이트 된 암호화 프로토콜입니다.
현재 TLS 프로토콜에는 TLS 1.0, 1.1, 1.2 및 1.3 ( 최신 )의 네 가지 버전이 있지만 이전 버전 인 TLS 1.0 및 1.1은 POODLE 및
BEAST 와 같은 여러 가지 심각한 공격에 취약한 것으로 알려져 있습니다 .
모든 주요 웹 브라우저는 2020 년 TLS 1.0 및 TLS 1.1 지원을 제거합니다
Google , Microsoft , Apple 및 Mozilla의 4 대 주요 회사에서 발표 한 보도 자료에 따르면 웹 브라우저는
2020 년 상반기에 TLS 1.0 및 1.1 지원을 완전히 삭제합니다.
10 년 전에 발표 된 TLS 1.2 TLS 1.0 및 1.1의 약점은 그 이후로 널리 채택되어 현재 개발 단계에있는 TLS 1.3이 없으면 기본 TLS 버전이됩니다.
Microsoft에 따르면 TLS 1.0의 시대가 도래함에 따라 많은 웹 사이트가 이미 새로운 버전의 프로토콜로 이동했습니다. 현재 사이트의 94 %는 이미 TLS 1.2를 지원하고 있으며 Microsoft Edge의 일일 연결 수는 TLS 1.0 또는 1.1을 사용하고 있습니다.
애플은 또한 TLS 1.2가 플랫폼상의 표준이며 TLS 1.0과 1.1이 모든 연결의 0.36 퍼센트 미만을 차지하는 반면 사파리로 만들어진 TLS 연결의 99.6 퍼센트를 대표한다고 말한다.
Google은 더 이상 동의 할 수 없으며 현재 Chrome에서 만든 HTTPS 연결의 0.5 %만이 TLS 1.0 또는 1.1을 사용한다고 말합니다.
모든 기술 회사는 TLS 1.2 이상을 지원하지 않는 웹 사이트를 가능한 한 빨리 구형 프로토콜에서 벗어나 실용적으로 권장했습니다.