안녕하세요. TLS설정 안내 관련 하여 문의 드립니다.
최근 인수인계 받아 확인중 해당 내용을 발견하여 문의 드립니다.
'[토스페이먼츠][중요] XPay TLS 1.2 미만 비보안 채널 서비스 지원종료 안내'
LGXPay 구버전 결제모듈 사용중이며, JSP(jdk1.7) 사용중 입니다.
MID: dg_phyfacil4, keumocamp
1) (결제창 호출) crossplatform.js 파일의 주소가 아래 주소를 바라보도록 변경합니다
https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js
2) (API 호출) lgdacom.conf 파일을 열고
https://Gateway.do 호출시 사용되는 "url" 도메인을 xpay-gateway.tosspayments.com/xpay/Gateway.do 로 변경합니다. => https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 3) (XPay 설정 변경) 3-1) ASP, JSP, PHP: default_secure_protocols 값을 2048 로 변경 합니다. (다른 값 사용 불가) 3-2) Java 환경 이실경우, SSL 인증서 운영중인 환경에 적용하시고 keystore_cacerts_dir 값에 인증서 위치를 명시 합니다. 현재 운영서버에서 1) 적용완료 2) API 호출URL은 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 적용되어있습니다. 3-1) 적용완료 3-2) 설정파일내 해당 설정 존재하지 않음. 해당 내용까지 확인 후 https://consumer.tosspayments.com/legacy/tls/check 제공하시는 URL을 통해 확인결과 '보안에 취약한 TLSv1 사용중으로 업그레이드가 필요해요.' 라고 확인되는 상황입니다. - 확인 주문번호 : keumo20250212130626cGTc0 해서 몇가지 문의드립니다. 1. 3월31일 이후에도 TLS1.2 처리 해당사항이 해결되지 않는다면 3월31일 이후 온라인결제가 실패하나요? 2. API호출 도메인 변경 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do => https://xpay-gateway.tosspayments.com/xpay/Gateway.do 처리하는 기한도 3월31일 까지인가요? 3. TLS1.2 설정 테스트를 위해 로컬테스트(https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do)로 결제테스트를 진행한 경우 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure로 결제실패하였습니다. JSP 적용사항, server.xml 적용하여도 실패하여, XPayClint1031.jar로 교체후 테스트 하였을때 결제성공 및 tls체크(https://consumer.tosspayments.com/legacy/tls/check)도 성공하였습니다. 이경우 운영에 XPayClint 라이브러리만 최신화 하여도 운영에 문제가 없다고 이해해도 될까요? 4. keumocamp 상점키는 현재 운영은 문제없는데 로컬 테스트 결제시 통합결재창 오픈 팝업창에서 '존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라고 나옵니다. dg_phyfacil4 상점키의 경우 테스트 결제 잘 됩니다.
https://Gateway.do 호출시 사용되는 "url" 도메인을 xpay-gateway.tosspayments.com/xpay/Gateway.do 로 변경합니다. => https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 3) (XPay 설정 변경) 3-1) ASP, JSP, PHP: default_secure_protocols 값을 2048 로 변경 합니다. (다른 값 사용 불가) 3-2) Java 환경 이실경우, SSL 인증서 운영중인 환경에 적용하시고 keystore_cacerts_dir 값에 인증서 위치를 명시 합니다. 현재 운영서버에서 1) 적용완료 2) API 호출URL은 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 적용되어있습니다. 3-1) 적용완료 3-2) 설정파일내 해당 설정 존재하지 않음. 해당 내용까지 확인 후 https://consumer.tosspayments.com/legacy/tls/check 제공하시는 URL을 통해 확인결과 '보안에 취약한 TLSv1 사용중으로 업그레이드가 필요해요.' 라고 확인되는 상황입니다. - 확인 주문번호 : keumo20250212130626cGTc0 해서 몇가지 문의드립니다. 1. 3월31일 이후에도 TLS1.2 처리 해당사항이 해결되지 않는다면 3월31일 이후 온라인결제가 실패하나요? 2. API호출 도메인 변경 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do => https://xpay-gateway.tosspayments.com/xpay/Gateway.do 처리하는 기한도 3월31일 까지인가요? 3. TLS1.2 설정 테스트를 위해 로컬테스트(https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do)로 결제테스트를 진행한 경우 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure로 결제실패하였습니다. JSP 적용사항, server.xml 적용하여도 실패하여, XPayClint1031.jar로 교체후 테스트 하였을때 결제성공 및 tls체크(https://consumer.tosspayments.com/legacy/tls/check)도 성공하였습니다. 이경우 운영에 XPayClint 라이브러리만 최신화 하여도 운영에 문제가 없다고 이해해도 될까요? 4. keumocamp 상점키는 현재 운영은 문제없는데 로컬 테스트 결제시 통합결재창 오픈 팝업창에서 '존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라고 나옵니다. dg_phyfacil4 상점키의 경우 테스트 결제 잘 됩니다.
17 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
1. 네, old-and-unsafe 이용하실경우에도 실패합니다.
2. old-and-unsafe에서 변경하는 건 3월 31일이며, LG 도메인에서 tosspayments.com으로 변경하는 기한은 이미 지났습니다.
3. 네 XPayClient1031.jar는 JDK 1.7에서 업데이트가 불가능한 일부 가맹점에 한하여 예외적으로 제공된 것으로 계속 이용할 수 있습니다. 다만, 보안 상 최신 JDK로 업그레이드 하는 것을 추천드립니다.
4. mall.conf에 keumocamp와 그 머트키가 잘 표기되어있는지 확인 부탁드립니다. 정상이라면, keumocamp로 요청하신 LGD_OID를 확인해 주세요.
이 부분 확인해보니 old-and-unsafe로 TLSv1 호출시에도 업그레이드 안내 메시지가 나옵니다.
3월 31일까지 수정을 하셔야 하므로 그렇게 노출되는 사안이라서 정상이시구요, 3월되기전에 서버 업데이트 하셔서 TLS1.2 이상 지원해주세요.
네 그래서 현재 운영적용을 위해 로컬테스트중 문의드리는 부분이며, 로컬에서 https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do 도메인으로 테스트 결제 하였을때 가이드 사항 적용시 SSLHandshakeException 으로 실패하였고, 라이브러리 최신화하여 테스트 하여 https://consumer.tosspayments.com/legacy/tls/check 에서도 성공하였습니다. 문의드리는 부분은 서버설정 변경없이 라이브러리 최신화 만으로 해결되는지 입니다.
테스트 주문번호 : tdg_p20250212112859v1hO8
4. keumocamp:25021109153287721204 테스트결제 실패 확인부탁드립니다.
keumocamp XPayClient (1.1.5/Java)
tdg_p20250212112859v1hO8 : XPayClient (4.0.0.0/Java/HttpClient 3.x) SecureProtocols(2048)
지금 확인해 보면 tdg_p20250212112859v1hO8 는 모두 수정되어 잘 들어 왔습니다.
두 결제의 라이브러리 버전이 다릅니다.. 테스트쪽은 잘 넘어왔구요
keumocamp 여기는...jdk 1.8 이상이 아니면, TLS1.2 가 안됩니다. jdk 버전이 어떻게 되시나요?
만일 jdk 1.8 미만이라면, 말씀하신대로 라이브러리를 교체해야합니다.
tdg_p20250212112859v1hO8 주문건은 제가 로컬에서 라이브러리 교체후 테스트한 부분이구요, 운영 적용시 tls설정 수정없이 라이브러리 최신화 적용만 해도될지 문의 드립니다.
keumocamp 건은 해당 상점MID로 동일한 테스트 결제 진행시 dg_phyfacil4는 테스트 결제가 진행되고있으나, keumocamp 상점MID로 진행되는 테스트 결제 진행건은 통합결재 팝업창 에러가 발생하고있어 문의드리는 부분입니다.
통합결재 팝업창 에러 라는게 어떤 에러이신가요? 지금 수정하는 부분은 결제 창과는 무관한 부분이라서요.
'존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라는 메세지 입니다.
우선 TLS 관련한 부분을 말씀드리면, 운영쪽이 JDK 1.7 이상이고 웹서버 및 WAS의 TLS 기본설정이 1.2 라는 가정하에
1) 운영쪽 라이브러리를 최신화 하고, ( XPayClient (1.1.5/Java) => XPayClient (4.0.0.0/Java/HttpClient 3.x) )
2) mall.conf 에 default_secure_protocol = 2048 설정
3) lgdacom.conf의 url을 아래와 같이 변경
url = https://xpay-gateway.tosspayments.com/xpay/Gateway.do
test_url = https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do
하면 TLS 1.2 적용됩니다.
처음 문의에 남겨주신 url
url = https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do
test_url = https://xpay-gateway-old-and-unsafe-sandbox.tosspayments.com/xpay/Gateway.do
이건 JDK 1.7 미만이거나, 라이브러리 교체가 불가해서, TLS 1.2 를 쓸수 없는 환경에서 3/31까지 임시로 쓸수 있도록 오픈한 TLS1.0 전용 임시도메인입니다.
'존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.'
이 에러는 확인을 해보니
테스트모드, 즉 MID = tkeumocamp 이걸로 올렸는데, 결제창 호출 js 가 운영용 주소인
https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 로 걸려 있어 발생한 에러입니다.
테스트모드일때는 아래 js 주소로 연동해주시기 바랍니다.
CST_PLATFORM = test 일때 https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js
CST_PLATFORM != test 일때 (운영) : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js
운영용 MID는 keumocamp 이며, 테스트모드일때의 MID는 tkeumocamp 입니다.
아 결제창 호출 주소도 변경되어야 하나요? dg_phyfacil4 MID로는 서비스만 test 로 바뀌느냐에 따라 테스트/운영결제창이 구분되어서 진행되어서 문의드렸습니다.
CST_PLATFORM = service 나 빈값일때
=> MID : keumocamp
=> JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js CST_PLATFORM = test 일때 => MID : tkeumocamp
=> JS : https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js 이렇게 올려주세요. 지금 로그를 보면 에러나는 거래는 아래와 같이 올리는것 같습니다. CST_PLATFORM = 빈값 => MID : tkeumocamp (테스트MID ) => JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 네 결제창도 구분되고 MID도 구분됩니다. 테스트는 앞에 t가 붙습니다
=> JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js CST_PLATFORM = test 일때 => MID : tkeumocamp
=> JS : https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js 이렇게 올려주세요. 지금 로그를 보면 에러나는 거래는 아래와 같이 올리는것 같습니다. CST_PLATFORM = 빈값 => MID : tkeumocamp (테스트MID ) => JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 네 결제창도 구분되고 MID도 구분됩니다. 테스트는 앞에 t가 붙습니다
네 MID부분은 가이드대로 진행되고있어서 별도로 구분되어 들어가고있습니다. 해당 주소 변경 하여 확인해보겠습니다.
TLS 설정 관련해서는 Xpayclinet 라이브러리 최신화 하더라도 WAS tls 설정도 동반되어야 한다는 말씀이신거죠?
네 WAS 종류에 따라 다르긴 한데요
톰캣은 따로 설정하는건 없지만, 보통 이설정을 걸어줘야 합니다.
WAS 환경설정에 아래 항목 적용
System.setProperty("https.protocols", "TLSv1,TLSv1.1,TLSv1.2");
톰캣이라면
Tomcat 서버의 bin/catalina.sh 의 CATALINA_OPTS에 다음 옵션 추가
-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2
이건 사용중이신 WAS 및 웹서버 의 TLS1.2 설정관련 내용을 찾아보시면 될것 같습니다.
네 확인해보겠습니다. 감사합니다.
TLSv1,TLSv1.1 는 설정에서 제거 해주세요.
TLSv1.2 이상만 남겨두면 됩니다
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.