TLS의 초기 버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약하며 프로토콜 취약점으로 인한 세션 하이제킹이 발생할 수 있습니다.

 

- POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점

 

구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점

 

- BEAST(Browser Exploit Against SSL/TLS) 취약점

 

클라이언트 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점

지원이 중단되면 해당 프로토콜만 사용 시 최종 클라이언트들은 HTTPS로 접속이 불가한 경우가 발생되며

 

서비스에 영향을 줄 수 있습니다.

인증서는 프로토콜 버전을 조정하거나 제약할 수 없습니다. 프로토콜은 오직 서버 설정 및 사양에 따라 이루어집니다. 

 

마찬가지로 발급에 따라서 TLS 용 인증서가 따로 있지는 않습니다.

서버에서는 적용이 확인이 되었지만, 클라이언트나 SSL LABS에서는 활성화가 되지 않은 것을 확인할 수도 있습니다.

이는 망 구성도에서 웹 방화벽이 존재할 경우 나타날 수 있습니다.

 

서버에서는 바뀌었지만, 클라이언트 같은 외부 접속자는 웹 방화벽을 거치게 되므로 웹 방화벽 장비의 설정을 볼 수도 있습니다.

 


 

프로토콜 적용 후에는 어떤 서버이든 재 시작이 필요합니다. 다만, IIS를 제외한 서버는 웹 서버만 재 시작을

하면 됩니다. IIS 같은 경우 레지스터리를 수정해야 함으로 서버 자체를 재 시작 해야 합니다.

 

적용 후 확인 방법은 보통 리눅스 계열의 경우 서버에서 아래의 명령어로 확인이 가능합니다

 

openssl s_client -connect 127.0.0.1:443 -tls1_2

 

위 명령어로 CONNECTED(00000003) 이 확인이 되면 됩니다.

 

Webtob의 경우는 아래의 명령어로 확인 가능합니다.

 

wbssl s_client -connect 127.0.0.1:443 -tls1_2

 

그 밖에는 아래의 사이트에서 TLS 적용을 확인 할 수 있습니다.

 

https://www.ssllabs.com/

 

사이트에 접속 후 아래의 방법대로 진행하시면 됩니다.

 

 

1. Test your Server 클릭

 

2. 도메인을 입력합니다. 

3. 지원되고 있는 버전을 확인 합니다.

 아래의 표를 참조해 주세요


웹서버구성조건
ApacheApache 2.2x 이상
Openssl 1.0.1 이상
IISWindow Server 2008 R2 이상
WebtobWebtob 4.1 SP 5 이상(자세한 사항은 업체 확인 필요)
wbssl 1.0.1c 이상
TomcatTomcat 7 이상
Java 1.7 이상
OHSOHS 10.1.2.0.2
Openssl 1.0.1 이상
IHSOHS 8.0 이상
Openssl 1.0.1 이상
NginxOpenssl 1.0.1 이상
IplanetOracle iPlanet Web Server 7.0.21
lighttpdlighttpd 1.4.48 이상
Openssl 1.0.1 이상

프로토콜에 경우 인증서와는 무관하게 웹 서버 버전과 Openssl, Java 버전과 관련이 있습니다.

 

위 버전이 낮을 경우 TLS 1.2 지원이 불가 할 수 있습니다.

아래와 같이 주의사항에 대해 말씀드립니다.

 

1. 아파치, Nginx, Webtob 등의 경우 프로세스 재시작으로 적용이 가능합니다. 

   (IIS의 경우 서버 전체를 재시작해야 합니다.)

 

2. 설정이 잘못되었을 경우 재시작을 해도 가동되지 않을 수 있습니다. 사전에 백업 설정 파일을 만드셔야 합니다.

 

3. 프로토콜 적용 후에 낮은 사양의 OS를 사용하는 고객은 접속이 불가할 수 있습니다.

 

4. 높은 버전의 프로토콜 및 알고리즘의 경우 웹 서버 사양을 확인하셔야 합니다.

   (버전의 경우 일부 회원에 한하여 가이드를 제공합니다.)

프로토콜의 경우 아래의 URL에서 확인이 가능합니다.

단, 443 포트일 경우에만 확인이 가능합니다.

 

https://www.ssllabs.com/

 

1. https://www.ssllabs.com/ 에 접속

 


 

2. 도메인을 기재하도록 합니다.

 


 

3. 프로토콜 결과를 확인하도록 합니다.

 


 

 

 



 

기술지원센터

02-512-5495

dev_tech@ucert.co.kr

|

365일 24시간 지원, 유서트