lodev_개발
lodev_개발2w ago

보안 강화 Cipher Suite 관련해서 지원 중지된다고 메일을 받았습니다.

대상 상점 ID : sjcac6912 서비스 종료에 따라서 2가지 조치 방법을 말씀 해주셨느데요 1. TLS 1.2 이상 사용 2. TLS 1.2 이상 이용중이지만 Cipher Suite 업데이트가 필요한 경우 이중 저희는 2번이 해당될꺼 같아서 저희쪽 서버 담당 업체에 문의 했보니 SSLv3 TLSv1 TLSv1.1 TLSv1.2을 지원하고 있다고 합니다. 혹시 위 사항 지원 하고 있다면 2번 상황에 해당이 안될까요??? 문의 드립니다.
15 Replies
토스페이먼츠 BOT
토스페이먼츠 BOT2w ago
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) : - 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요. * 주말/공휴일에는 답변이 늦을 수 있어요.
유부장
유부장2w ago
SSLv3 TLSv1 TLSv1.1 를 전부 disable 처리 TLS 1.2 일때 안전한 cipher suite 로 전환 이 두개를 보셔야 해요. 메일 공지에 내용이 있습니다.
lodev_개발
lodev_개발OP2w ago
저희가 TLS 1.2 사용 중인데 자바 버전은 1.7.0-internal 고요 그러면 Cipher Suite 업데이트가 필요한 경우가 해당 되나요?
유부장
유부장2w ago
네, 필요한 경우에만 메일 수신 하셨을 거라서요
박의원
박의원2w ago
TLS 버전은 괜찮은데 cipher suite 가 현재 아래와 같이 올라오고 있습니다. ECDHE-RSA-AES128-SHA 보안레벨이 너무 낮기 때문에, cipher suite를 좀더 보안이 강화된 버전으로 올려주시면 좋겠습니다. 아래중 하나로 셋팅하시기를 권장드립니다. 'TLS_AES_128_GCM_SHA256', 'TLS_AES_256_GCM_SHA384', 'TLS_CHACHA20_POLY1305_SHA256', 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256', 'ECDHE-ECDSA-AES128-SHA256', 'ECDHE-RSA-AES128-SHA256', 'ECDHE-ECDSA-AES256-GCM-SHA384', 'ECDHE-RSA-AES256-GCM-SHA384', 'ECDHE-ECDSA-AES256-SHA384', 'ECDHE-RSA-AES256-SHA384'
Minsu Kim
Minsu Kim2w ago
Java 1.7이면... JDK 7u321 이상부터 위의 cipher suite가 지원되구요. 1.7.0이면 지원이 안될겁니다. 가능한 것은 - JDK 업데이트 (1.8 이상 혹은 적어도 7u321) + 적절한 설정 변경 - Third-party 라이브러리 이용 (API 방식을 이용하실 경우) 정도 입니다.
lodev_개발
lodev_개발OP2w ago
외부 업체꺼 구매해서 사용 중이라...그러면 현재 버전 계속 사용 한다면 보안 레벨 더 못올리겠네요?
Minsu Kim
Minsu Kim2w ago
네 현재버전에서는 지원이 종료된다고 보시면 됩니다 혹은 API 쓰시면 써드파티 라이브러리 셋업하시면 돼요
lodev_개발
lodev_개발OP2w ago
API 결제 API 사용 중인지...말씀 이시죠?
Minsu Kim
Minsu Kim2w ago
lodev_개발
lodev_개발OP2w ago
넹 지금 API 사용 중에 있습니다 작년에 구버전 쓰다가 바꿨습니다 기존에도 TLS 1.1 -> TLS 1.2 쓰도록 수정 도 했고...요.... 써드파티 라이브러리는 어떻게 세팅 하면 되죠???
Minsu Kim
Minsu Kim2w ago
서드파티 라이브러리를 통한 TLS 버전 업데이트 자바 업그레이드가 곤란할 경우, 서드파티 라이브러리를 사용해 TLS 버전을 업그레이드할 수 있습니다. TLS 1.2 및 완전 순방향 비밀성를 지원하는 서드파티 JCE(Java Cryptography Extension) 및 JSSE(Java Secure Socket Extension) 구현체를 설치할 경우, 자바 업그레이드 없이 TLS 통신을 안전하게 할 수 있습니다. 본 가이드에서는 Bouncy Castle이라는 오픈소스 라이브러리를 이용한 예시를 설명합니다. 1. Bouncy Castle 홈페이지에서 아래의 세 파일을 다운받습니다. - bcprov-jdk15to18-VERSION.jar - bctls-jdk15to18-VERSION.jar - bcutil-jdk15to18-VERSION.jar 2. 세 jar 파일을 ${JAVA_HOME}/jre/lib/ext 디렉토리에 복사합니다.
Minsu Kim
Minsu Kim2w ago
3. ${JAVA_HOME}/jre/lib/security 디렉토리의 "java.security" 파일을 아래와 같이 수정합니다. 
# before
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC

# after
# Add provider with higher priority
security.provider.1=org.bouncycastle.jce.provider.BouncyCastleProvider
security.provider.2=org.bouncycastle.jsse.provider.BouncyCastleJsseProvider
# Lower priority of existing providers
security.provider.3=sun.security.provider.Sun
security.provider.4=sun.security.rsa.SunRsaSign
security.provider.5=com.sun.net.ssl.internal.ssl.Provider
security.provider.6=com.sun.crypto.provider.SunJCE
security.provider.7=sun.security.jgss.SunProvider
security.provider.8=com.sun.security.sasl.Provider
security.provider.9=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.10=sun.security.smartcardio.SunPCSC
# Change default SocketFactory implementation
ssl.SocketFactory.provider=org.bouncycastle.jsse.provider.SSLSocketFactoryImpl
# before
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC

# after
# Add provider with higher priority
security.provider.1=org.bouncycastle.jce.provider.BouncyCastleProvider
security.provider.2=org.bouncycastle.jsse.provider.BouncyCastleJsseProvider
# Lower priority of existing providers
security.provider.3=sun.security.provider.Sun
security.provider.4=sun.security.rsa.SunRsaSign
security.provider.5=com.sun.net.ssl.internal.ssl.Provider
security.provider.6=com.sun.crypto.provider.SunJCE
security.provider.7=sun.security.jgss.SunProvider
security.provider.8=com.sun.security.sasl.Provider
security.provider.9=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.10=sun.security.smartcardio.SunPCSC
# Change default SocketFactory implementation
ssl.SocketFactory.provider=org.bouncycastle.jsse.provider.SSLSocketFactoryImpl
4. 오라클이 배포하는 "jce_policy-6.zip" 파일을 다운로드 받습니다. 5. 압축을 푼 후 "US_export_policy.jar", "local_policy.jar" 두 파일을 ${JAVA_HOME}/jre/lib/security 디렉토리 내에 덮어씌웁니다. -# 출처: https://developers.portone.io/opi/ko/support/tls-support?v=v1
TLS 지원 범위
포트원 v1 API의 TLS 지원 범위 및 설정 가이드를 확인할 수 있습니다.
lodev_개발
lodev_개발OP2w ago
확인 감사합니다 ㅎㅎ 또 궁금한점 있으면 다시 여쭈어 보겠습니다 ㅎ
토스페이먼츠 BOT
토스페이먼츠 BOT2w ago
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.

Did you find this page helpful?