안녕하세요. TLS설정 안내 관련 하여 문의 드립니다.
최근 인수인계 받아 확인중 해당 내용을 발견하여 문의 드립니다.
'[토스페이먼츠][중요] XPay TLS 1.2 미만 비보안 채널 서비스 지원종료 안내'
LGXPay 구버전 결제모듈 사용중이며, JSP(jdk1.7) 사용중 입니다.
MID: dg_phyfacil4, keumocamp
1) (결제창 호출) crossplatform.js 파일의 주소가 아래 주소를 바라보도록 변경합니다
https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js
2) (API 호출) lgdacom.conf 파일을 열고
https://Gateway.do 호출시 사용되는 "url" 도메인을 xpay-gateway.tosspayments.com/xpay/Gateway.do 로 변경합니다. => https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 3) (XPay 설정 변경) 3-1) ASP, JSP, PHP: default_secure_protocols 값을 2048 로 변경 합니다. (다른 값 사용 불가) 3-2) Java 환경 이실경우, SSL 인증서 운영중인 환경에 적용하시고 keystore_cacerts_dir 값에 인증서 위치를 명시 합니다. 현재 운영서버에서 1) 적용완료 2) API 호출URL은 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 적용되어있습니다. 3-1) 적용완료 3-2) 설정파일내 해당 설정 존재하지 않음. 해당 내용까지 확인 후 https://consumer.tosspayments.com/legacy/tls/check 제공하시는 URL을 통해 확인결과 '보안에 취약한 TLSv1 사용중으로 업그레이드가 필요해요.' 라고 확인되는 상황입니다. - 확인 주문번호 : keumo20250212130626cGTc0 해서 몇가지 문의드립니다. 1. 3월31일 이후에도 TLS1.2 처리 해당사항이 해결되지 않는다면 3월31일 이후 온라인결제가 실패하나요? 2. API호출 도메인 변경 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do => https://xpay-gateway.tosspayments.com/xpay/Gateway.do 처리하는 기한도 3월31일 까지인가요? 3. TLS1.2 설정 테스트를 위해 로컬테스트(https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do)로 결제테스트를 진행한 경우 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure로 결제실패하였습니다. JSP 적용사항, server.xml 적용하여도 실패하여, XPayClint1031.jar로 교체후 테스트 하였을때 결제성공 및 tls체크(https://consumer.tosspayments.com/legacy/tls/check)도 성공하였습니다. 이경우 운영에 XPayClint 라이브러리만 최신화 하여도 운영에 문제가 없다고 이해해도 될까요? 4. keumocamp 상점키는 현재 운영은 문제없는데 로컬 테스트 결제시 통합결재창 오픈 팝업창에서 '존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라고 나옵니다. dg_phyfacil4 상점키의 경우 테스트 결제 잘 됩니다.
https://Gateway.do 호출시 사용되는 "url" 도메인을 xpay-gateway.tosspayments.com/xpay/Gateway.do 로 변경합니다. => https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 3) (XPay 설정 변경) 3-1) ASP, JSP, PHP: default_secure_protocols 값을 2048 로 변경 합니다. (다른 값 사용 불가) 3-2) Java 환경 이실경우, SSL 인증서 운영중인 환경에 적용하시고 keystore_cacerts_dir 값에 인증서 위치를 명시 합니다. 현재 운영서버에서 1) 적용완료 2) API 호출URL은 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do 적용되어있습니다. 3-1) 적용완료 3-2) 설정파일내 해당 설정 존재하지 않음. 해당 내용까지 확인 후 https://consumer.tosspayments.com/legacy/tls/check 제공하시는 URL을 통해 확인결과 '보안에 취약한 TLSv1 사용중으로 업그레이드가 필요해요.' 라고 확인되는 상황입니다. - 확인 주문번호 : keumo20250212130626cGTc0 해서 몇가지 문의드립니다. 1. 3월31일 이후에도 TLS1.2 처리 해당사항이 해결되지 않는다면 3월31일 이후 온라인결제가 실패하나요? 2. API호출 도메인 변경 https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do => https://xpay-gateway.tosspayments.com/xpay/Gateway.do 처리하는 기한도 3월31일 까지인가요? 3. TLS1.2 설정 테스트를 위해 로컬테스트(https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do)로 결제테스트를 진행한 경우 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure로 결제실패하였습니다. JSP 적용사항, server.xml 적용하여도 실패하여, XPayClint1031.jar로 교체후 테스트 하였을때 결제성공 및 tls체크(https://consumer.tosspayments.com/legacy/tls/check)도 성공하였습니다. 이경우 운영에 XPayClint 라이브러리만 최신화 하여도 운영에 문제가 없다고 이해해도 될까요? 4. keumocamp 상점키는 현재 운영은 문제없는데 로컬 테스트 결제시 통합결재창 오픈 팝업창에서 '존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라고 나옵니다. dg_phyfacil4 상점키의 경우 테스트 결제 잘 됩니다.
32 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
1. 네, old-and-unsafe 이용하실경우에도 실패합니다.
2. old-and-unsafe에서 변경하는 건 3월 31일이며, LG 도메인에서 tosspayments.com으로 변경하는 기한은 이미 지났습니다.
3. 네 XPayClient1031.jar는 JDK 1.7에서 업데이트가 불가능한 일부 가맹점에 한하여 예외적으로 제공된 것으로 계속 이용할 수 있습니다. 다만, 보안 상 최신 JDK로 업그레이드 하는 것을 추천드립니다.
4. mall.conf에 keumocamp와 그 머트키가 잘 표기되어있는지 확인 부탁드립니다. 정상이라면, keumocamp로 요청하신 LGD_OID를 확인해 주세요.
이 부분 확인해보니 old-and-unsafe로 TLSv1 호출시에도 업그레이드 안내 메시지가 나옵니다.
3월 31일까지 수정을 하셔야 하므로 그렇게 노출되는 사안이라서 정상이시구요, 3월되기전에 서버 업데이트 하셔서 TLS1.2 이상 지원해주세요.
네 그래서 현재 운영적용을 위해 로컬테스트중 문의드리는 부분이며, 로컬에서 https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do 도메인으로 테스트 결제 하였을때 가이드 사항 적용시 SSLHandshakeException 으로 실패하였고, 라이브러리 최신화하여 테스트 하여 https://consumer.tosspayments.com/legacy/tls/check 에서도 성공하였습니다. 문의드리는 부분은 서버설정 변경없이 라이브러리 최신화 만으로 해결되는지 입니다.
테스트 주문번호 : tdg_p20250212112859v1hO8
4. keumocamp:25021109153287721204 테스트결제 실패 확인부탁드립니다.
keumocamp XPayClient (1.1.5/Java)
tdg_p20250212112859v1hO8 : XPayClient (4.0.0.0/Java/HttpClient 3.x) SecureProtocols(2048)
지금 확인해 보면 tdg_p20250212112859v1hO8 는 모두 수정되어 잘 들어 왔습니다.
두 결제의 라이브러리 버전이 다릅니다.. 테스트쪽은 잘 넘어왔구요
keumocamp 여기는...jdk 1.8 이상이 아니면, TLS1.2 가 안됩니다. jdk 버전이 어떻게 되시나요?
만일 jdk 1.8 미만이라면, 말씀하신대로 라이브러리를 교체해야합니다.
tdg_p20250212112859v1hO8 주문건은 제가 로컬에서 라이브러리 교체후 테스트한 부분이구요, 운영 적용시 tls설정 수정없이 라이브러리 최신화 적용만 해도될지 문의 드립니다.
keumocamp 건은 해당 상점MID로 동일한 테스트 결제 진행시 dg_phyfacil4는 테스트 결제가 진행되고있으나, keumocamp 상점MID로 진행되는 테스트 결제 진행건은 통합결재 팝업창 에러가 발생하고있어 문의드리는 부분입니다.
통합결재 팝업창 에러 라는게 어떤 에러이신가요? 지금 수정하는 부분은 결제 창과는 무관한 부분이라서요.
'존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.' 라는 메세지 입니다.
우선 TLS 관련한 부분을 말씀드리면, 운영쪽이 JDK 1.7 이상이고 웹서버 및 WAS의 TLS 기본설정이 1.2 라는 가정하에
1) 운영쪽 라이브러리를 최신화 하고, ( XPayClient (1.1.5/Java) => XPayClient (4.0.0.0/Java/HttpClient 3.x) )
2) mall.conf 에 default_secure_protocol = 2048 설정
3) lgdacom.conf의 url을 아래와 같이 변경
url = https://xpay-gateway.tosspayments.com/xpay/Gateway.do
test_url = https://xpay-gateway-sandbox.tosspayments.com/xpay/Gateway.do
하면 TLS 1.2 적용됩니다.
처음 문의에 남겨주신 url
url = https://xpay-gateway-old-and-unsafe.tosspayments.com/xpay/Gateway.do
test_url = https://xpay-gateway-old-and-unsafe-sandbox.tosspayments.com/xpay/Gateway.do
이건 JDK 1.7 미만이거나, 라이브러리 교체가 불가해서, TLS 1.2 를 쓸수 없는 환경에서 3/31까지 임시로 쓸수 있도록 오픈한 TLS1.0 전용 임시도메인입니다.
'존재하지 않는 상점아이디입니다. 토스페이먼츠로 문의 바랍니다.'
이 에러는 확인을 해보니
테스트모드, 즉 MID = tkeumocamp 이걸로 올렸는데, 결제창 호출 js 가 운영용 주소인
https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 로 걸려 있어 발생한 에러입니다.
테스트모드일때는 아래 js 주소로 연동해주시기 바랍니다.
CST_PLATFORM = test 일때 https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js
CST_PLATFORM != test 일때 (운영) : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js
운영용 MID는 keumocamp 이며, 테스트모드일때의 MID는 tkeumocamp 입니다.
아 결제창 호출 주소도 변경되어야 하나요? dg_phyfacil4 MID로는 서비스만 test 로 바뀌느냐에 따라 테스트/운영결제창이 구분되어서 진행되어서 문의드렸습니다.
CST_PLATFORM = service 나 빈값일때
=> MID : keumocamp
=> JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js CST_PLATFORM = test 일때 => MID : tkeumocamp
=> JS : https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js 이렇게 올려주세요. 지금 로그를 보면 에러나는 거래는 아래와 같이 올리는것 같습니다. CST_PLATFORM = 빈값 => MID : tkeumocamp (테스트MID ) => JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 네 결제창도 구분되고 MID도 구분됩니다. 테스트는 앞에 t가 붙습니다
=> JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js CST_PLATFORM = test 일때 => MID : tkeumocamp
=> JS : https://xpay-sandbox.tosspayments.com/xpay/js/xpay_crossplatform.js 이렇게 올려주세요. 지금 로그를 보면 에러나는 거래는 아래와 같이 올리는것 같습니다. CST_PLATFORM = 빈값 => MID : tkeumocamp (테스트MID ) => JS : https://xpay.tosspayments.com/xpay/js/xpay_crossplatform.js 네 결제창도 구분되고 MID도 구분됩니다. 테스트는 앞에 t가 붙습니다
네 MID부분은 가이드대로 진행되고있어서 별도로 구분되어 들어가고있습니다. 해당 주소 변경 하여 확인해보겠습니다.
TLS 설정 관련해서는 Xpayclinet 라이브러리 최신화 하더라도 WAS tls 설정도 동반되어야 한다는 말씀이신거죠?
네 WAS 종류에 따라 다르긴 한데요
톰캣은 따로 설정하는건 없지만, 보통 이설정을 걸어줘야 합니다.
WAS 환경설정에 아래 항목 적용
System.setProperty("https.protocols", "TLSv1,TLSv1.1,TLSv1.2");
톰캣이라면
Tomcat 서버의 bin/catalina.sh 의 CATALINA_OPTS에 다음 옵션 추가
-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2
이건 사용중이신 WAS 및 웹서버 의 TLS1.2 설정관련 내용을 찾아보시면 될것 같습니다.
네 확인해보겠습니다. 감사합니다.
TLSv1,TLSv1.1 는 설정에서 제거 해주세요.
TLSv1.2 이상만 남겨두면 됩니다
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.
안녕하세요
현재 tls 설정 및 작업 후 라이브 재기동 하였는데 에러가 발생하고있어서 확인요청점 드리고싶은데요
mid:keumocamp 입니다
정확한 에러 메시지 공유 가능하실까요?
현재 lgdacom쪽 로그에서는 received fetal alert; handshake_failure
로 발생하고있습니다. 현재 라이브 재기동 후 결제가 실패하고있어서 해당 MID로 들어오는 거래 요청으로 원인 확인이 가능할까요
해당 설정 변경으로도 TLS 1.2 통신이 안되는 것 같네요.
일전에 문의주셨던 tdg_p20250212112859v1hO8 이거래가 발생한 서버와 환경이 다른가요?
MID: dg_phyfacil4, keumocamp
결제내역을 보면 지금 서버가 두군데가 잡히는데
39.xx.114
152.xx.208
이 두 서버가 환경이나 jdk 버전이 다른 상태인가요?
둘다 XPayClient (1.1.5/Java) 로 올라오고 있는데, 이 버전은 jdk1.8이상에서만 TLS1.2가 지원되는 구버전입니다.
일단 문의주신 곳의 거래가 발생한 서버의 jdk 버전이 1.7 이면, 아래 라이브러리로 일단 교체하시고, lgdacom.conf는 기존대로 old-and-unsafe 도메인으로 둔 상태에서 정상결제가 되는지 확인부탁드립니다 .(원본은 꼭 백업해주시기 바랍니다)
교체한 라이브러리로 정상결제가 되면, 이후 TLS 1.2 설정관련해서 체크를 해보겠습니다.
https://drive.google.com/file/d/1H-bhx5JSBKyCofjBoCchxA84EKmg5PEM/view?usp=drive_link
Google Docs
XPayClient1031.jar
네 늦었지만 운영서버 재기동 이슈가 있어서 이제 답변 드립니다. 114로 끝나는건 저희 내부 개발환경입니다. 208로 끝나는게 운영서버 인데 어제 운영서버쪽 lgdacom.conf 설정 변경과 라이브러리 최신화 작업후 테스트 하는상황이 었습니다. 어제 208로 18시 ~ 20시 사이에 208에서 들어온 결재내역이 있을까요
위에 말씀드린것처럼 운영서버쪽에 log 에선 handshake_failure 발생해서 dns주소만 conf설정에 의해서 적용되고 최신라이브러리는 적용이 안된거같아서 문의 드립니다.
일단 문의주신 곳의 거래가 발생한 서버의 jdk 버전이 1.7 이면, 아래 라이브러리로 일단 교체하시고, lgdacom.conf는 기존대로 old-and-unsafe 도메인으로 둔 상태에서 정상결제가 되는지 확인부탁드립니다 .(원본은 꼭 백업해주시기 바랍니다)
교체한 라이브러리로 정상결제가 되면, 이후 TLS 1.2 설정관련해서 체크를 해보겠습니다.
https://drive.google.com/file/d/1H-bhx5JSBKyCofjBoCchxA84EKmg5PEM/view?usp=drive_link
Google Docs
XPayClient1031.jar
네 그럼 우선 일정 잡아서 라이브러리만 최신교체후 old-and-unsafe 확인해보겠습니다. 그리고 토스페이먼츠측에서 10일까지 작업완료 요청이 왔었다고 전달받았는데 혹시 변경 기한이 언제까지일지 알수있을까요
TLS 1.2 미만은 3월 31일 서비스 지원 종료 예정 입니다.
유플러스 도메인은 이미 고지한 날짜가 지나서 언제 사용못할지 저희도 장담하지 못하는 상태 입니다.
안녕하세요
금일 라이브러리 최신화후 라이브 결제 진행하였습니다. 체크 좀 부탁드립니다. 결제는 성공하였습니다.
keumo20250317181703bG1f5
상점은 keumocamp 입니다
TLS 1.2 이상으로 확인 하였습니다.
이제 도메인만 수정하시면 됩니다
지금 old and unsafe 쓰고 계시니까, 이 도메인을 정상 도메인으로 변경 해주시면 됩니다
네 알겠습니다. 작업후 다시 말씀드리겠습니다
keumo20250317183347V1MQ2
확인좀 부탁드립니다.
잘 적용 되었습니다.
네 감사합니다.