오류 문의
2025.02.17 11시경 토스 결제 진행시 오류가 발생하여 문의드립니다.
11시 이전에는 정상적으로 결제가 되었는데요
11시 이후로부터 결제가 되지않는 문제가 발생하였습니다.
로그를 확인해보니
javax.net.ssl.SSLException: Received close_notify during handshake
가 발생한 것이 확인되었는데요.
혹시 이와 관련해서 원인 확인 가능할까요?
20 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
운영중 서버의 개발언어, 버전, TLS 버전 그리고 사용중인 암호화 알고리즘 확인 부탁 드립니다.
- 개발언어: java 1.7
- TLS 버전 : TLSv1,TLSv1.1,TLSv1.2
-알고리즘 : BASE64Encoder 로 확인됩니다
우선 TLS 버전이 1.2 가 아닌 요청이 있어서 차단 되신것 같습니다.
토스페이먼츠는 공식적으로 TLS 1.2 이상만을 지원하는데
https://docs.tosspayments.com/reference/using-api/security#tls-%EB%B2%84%EC%A0%84-12-%EC%9D%B4%EC%83%81%EC%9D%84-%EC%A7%80%EC%9B%90%ED%95%A9%EB%8B%88%EB%8B%A4
그 동안 TLS 1.2 미만인 요청도 허용해왔으나, 이제 더이상 허용하지 않아서
몇달전 대공지를 진행했었고, 어제 적용했습니다.
그런데, 공지를 했음에도 작업하지 않은 가맹점들이 있어서 우선은 원복조치 했습니다.
최대한 빠르게 TLS 1.2 이상으로만 API 호출 될 수 있도록 작업 해주시기 바랍니다.
그리고, 암호화 알고리즘은 cipher suite 에 대한 내용을 여쭤본것입니다
1.7 이면 오래된 cipher suite 를 사용하고 있을 가능성이 있는데,
대체로 아래와 같습니다.
AES128-SHA 등을 사용하고 있을 가능성이 있음
AES128-SHA는 더 이상 안전하지 않음
RSA 키 교환 (전방 비밀성 부족)
CBC 모드 (패딩 오라클 공격 가능)
SHA-1 해시 (충돌 공격 가능)
대체가능 Cipher Suite
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
최대한 빠르게 조치 해주시기 바랍니다.
몇달 전 대공지를 진행하셨다고 하셨는데, 혹시 공지가 어떤식으로 이루어졌는지도 알 수 있을까요?
작년 9월에 상점관리자 / 이메일로 공지 되었고요
PX SDK 결제 모듈의 TLS 1.1 이하 비보안채널 지원종료 안내 라는 제목 인데
MID 의 운영 / 기술 담당자 연락처 최신화를 하셨다면 메일 받아 보셨을겁니다.
네 확인감사합니다. 혹시 저희가 TLS1.2버전으로 수정 후 테스트를 진행하려고하는데요. 주문번호가 있으면 TLS1.2버전으로 요청된 건인지 확인해주실 수 있을까요?
네 가능합니다..
1739772459691e2102625-af5f-43a0-a688-4e2b53506b49,
1739852477834a7427ae4-2345-4e54-b691-6d4d2bc71a42 두개의 주문건 확인 요청드립니다:)
두 거래 모두 TLS 1.2 확인 되었습니다.
이제 cipher suite 부분만 확인 도움을 부탁 드리겠습니다
setEnabledCipherSuites 를 사용해서 강제하거나
jdk.tls.disabledAlgorithms 에서 비보안 알고리즘 등을 비활성화 하는 방법등이 있다고 합니다.
말씀하신 암호화 부분은 따로 없는것으로 확인됩니다
혹시 추후에 TLS1.2이상 지원되는 부분이 다시 토스에 적용되었을때 , 오래된 cipher suite를 사용하고 있으면 결제가 어제처럼 정상적으로 이뤄지지않을까요?
네, 맞습니다.
오래된 cipher suite 유지가 필요할 경우,
이후 별도의 결제 도메인을 통해서만 지원이 가능할것 같아서
가능하시다면 setEnabledCipherSuites 를 사용해서 안전한 알고리즘으로 강제하거나, jdk.tls.disabledAlgorithms 에서 비보안 알고리즘 비활성화를 해주셔야
도메인 변경등의 작업이 필요 없으실것 같습니다.
1.7 이면 아래와 같은 알고리즘 사용이 가능 하다고 합니다.
대체가능 Cipher Suite
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
저희쪽에서 확인해본 결과, 암호화해서 보내는 부분이 따로 없는 것 같은데 혹시 일반적으로 암호화하는 데이터들이 뭐가있을까요?
따로 명시를 안했다면, 1.7 자체가 오래된 버전이라
자동으로 AES128-SHA 으로 전달되고 있었을겁니다
결제하고만 연관이 있는게 아닌, Restful API request 부분 일 것으로 보입니다.
혹시 정확한 JDK 버전을 알 수 있을까요?
JDK 7u321부터 TLS 1.2 설정 시 legacy cipher를 이용하지 않기 때문에 이 버전 이후 버전을 권장드리고 있으며,
JDK 8 (Java 1.8), 특히 JDK 8u261부터는 별도 설정 없이 TLS1.3을 지원합니다.
만약 TLS1.2 셋업을 하셨는데, 7u321 이하 버전이고 업그레이드가 불가능 하시다면 별도로 설정을 추가로 하시거나, 써드파티 라이브러리 (Bouncy Castle)로 TLS/Cipher 버전을 높여주시면 되겠습니다.
관련해서는 Google 등에 검색해 보면 많은 정보를 얻으실 수 있을것이라고 보입니다.
1.7.0_80 으로 확인됩니다
혹시 TLS1.2이상으로 어제 적용되었다가 원복했다고 하셨는데, 추후 언제 다시 반영될 일정인지 알 수 있을까요?
JDK 7u80
JDK 7u80에서는 아쉽게도 TLS 1.2 + secured cipher 이용이 안되실 듯 합니다. (Oracle 기준)
해결 방법은
1. 7u321 (= 1.7.0_321) 이상으로 업데이트
2. Bouncy Castle 등을 이용해서 Cipher 업그레이드
일 듯 합니다.
이 부분은 유부장님이 확인해서 알려주실 것 같습니다.
내부에 확인 후에 답변주셔야 할 수 있어서 시간 양해 부탁드려요
혹시 2/16 적용을 몇시에 하셨고, 또 몇시에 원복하셨는지 확인해주실 수 있을까요?
2월 17일
12:48 ~ 15:00 입니다.
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.