보안 강화를 위한 Cipher Suite 변경 관련
안녕하세요 익산(대상 상점아이디(MID): iksan7fFci) 보안 강화를 위한 Cipher Suite 변경 관련으로 요청을 받았습니다. 현재 사이트 java version "1.7.0_261" 사용중이고 버전 1.8까지는 사정상(was:제우스) 업그레이드를 하지못하여 JDK 7u321 이상으로 교체할예정입니다. 또한 tls 버전도 https://www.ssllabs.com/ssltest/analyze.html?d=www.iksan.go.kr 여기서 조회해본결과 첨부파일 사진과같이 버전이 1.2이상인걸로 확인되는것같은데 was쪽 작업만 하면 되는거 맞을까요? 그리고 가이드는 톰캣기준으로 써져있는데 제우스웹투비 기준으로 가이드 지침이 따로 없는걸까요?
16 Replies
네 cipher 버전 업데이트는, 가맹점쪽 서버설정이다 보니, 각 가맹점의 환경을 저희가 정확히 알수가 없습니다. 그래서 가장 많이 쓰는 톰캣을 예시로 회신드린 것입니다.
각 WAS별 cipher suite set를 업데이트하는 방법으로 진행해주시기 바랍니다. 아래 셋트중 하나를 적용하면 문제없습니다.
'TLS_AES_128_GCM_SHA256',
'TLS_AES_256_GCM_SHA384',
'TLS_CHACHA20_POLY1305_SHA256',
'ECDHE-ECDSA-AES128-GCM-SHA256',
'ECDHE-RSA-AES128-GCM-SHA256',
'ECDHE-ECDSA-AES128-SHA256',
'ECDHE-RSA-AES128-SHA256',
'ECDHE-ECDSA-AES256-GCM-SHA384',
'ECDHE-RSA-AES256-GCM-SHA384',
'ECDHE-ECDSA-AES256-SHA384',
'ECDHE-RSA-AES256-SHA384'
저희와 관련은 없습니다만,SSL 인증서를 관리하는 전문업체의 가이드가 있는듯 합니다. 여기도 참고해보시기 바랍니다.
https://help.ucert.co.kr/6e218bfa-b3df-4854-aa04-944d7cce74a0
WebtoB SSL 프로토콜 설정
WebtoB SSL 프로토콜 설정
네 만약 작업 다 완료되면 정상적으로 다 반영이됐는지 확인하려면 어떻게해야할까요? 메일 드리면 확인해주시는걸까요?
네 작업완료후 주문번호등을 디스코드나 메일로 남겨주셔도 되고,
저희가 매주 월요일에 미적용업체에 메일공지를 드리는데, 적용완료되면 더이상 메일은 드리지 않습니다
7u321로 교체하실 경우, TLS 1.2의 사용 설정이 해제되지 않도록 유의하시기 바라며 (여전히 기본 프로토콜이 1.2가 아니기때문에)
참고 차원에서 TLS 1.2 대응 방법을 공유해 드립니다.
JDK 7u321 이상으로 버전 업그레이드, 1.2 사용 설정
JDK 7u321 버전부터 기본 Cipher Suite가 완전 순방향 비밀성을 지원하고 SHA-1 등 약한 해시를 사용하지 않는것으로 변경되었습니다. 따라서 JDK 7u321 이상으로 업그레이드 할 경우, 기본 TLS 버전 수정을 제외한 별도의 설정이 필요하지 않습니다. JDK 7u321 미만의 버전을 사용할 경우, 최소한 JDK 7u191 이상의 버전을 사용해야 안전한 Cipher Suite들을 사용할 수 있습니다.
JDK 버전업이 완료되었다면, 아래 두 방법 중 하나를 골라 기본 TLS 버전을 1.0에서 1.2로 올려야 합니다.
1. System property
Java 애플리케이션 구동 시 아래와 같은 system property 설정을 추가하면, 기본 TLS 버전이 1.2로 변경됩니다.
코드에 강제로 TLS 1.2 이외의 버전을 사용하도록 하는 코드가 있을 경우, 에러가 발생할 수 있습니다.
2. Socket client의 TLS 버전 지정
아래와 같이 자바 코드수준에서도 TLS socket client가 사용할 TLS 버전을 직접 지정해줄 수 있습니다.
-# *참고: TLSv1.2를 이미 기존에 가이드를 받아서 조치하셨다면, 7u321로 올리면 바로 해결되실겁니다.
-# 출처: https://developers.portone.io/opi/ko/support/tls-support?v=v1
iksan7fFci 는 지금 이미 TLS 1.2 로 연동중입니다. cipher suite 만 업데이트 하시면 됩니다.
위에 제가 보내드린 내용은 참고차원에서 전달 드린 내용으로, TLS 1.2가 조치되었다면 7u321로 올리시면 되실겁니다
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.
안녕하세요 일단 자바버전을 업그레이드시켜야하는데 지금 제우스웹투비환경이라 8버전으로는 업그레이드 하기가 어려워 7u321버전 이상으로 업그레이드 시켜야하는데, 아무리 찾아봐도 다운받을 수 있는 링크가 제공이 되지않더라고요. 혹시 다운로드파일을 공유받을 수 있나요?
자바버전은 업그레이드 해야하는거 맞죠? 자바버전업그레이드 -> cipher suite 업데이트 맞나요?
네 맞습니다.
JDK 7u321 버전부터 기본 Cipher Suite가 완전 순방향 비밀성을 지원하고 SHA-1 등 약한 해시를 사용하지 않는것으로 변경되었습니다.
따라서 JDK 7u321 이상으로 업그레이드 할 경우, 기본 TLS 버전 수정을 제외한 별도의 설정이 필요하지 않습니다.
JDK 7u321 미만의 버전을 사용할 경우, 최소한 JDK 7u191 이상의 버전을 사용해야 안전한 Cipher Suite들을 사용할 수 있습니다.
JDK 7u321 이상 사용시 => 별도설정없이 자동대응
JDK 7u191 이상 JDK 7u321 미만 사용시 => 별도설정필요
JDK 7u191 미만 사용시 : 불가 로 확인됩니다.
JDK 7u191 미만 사용시 불가란 소리는 결제모듈이 지원종료일자 이후에 정상적으로 안될수 있다는 말씀이신거죠
결제모듈을 사용하려면 무조건 191이상으로 업그레이드는 해야되는거겠네요
네 맞습니다.
JDK 7u321 이상을 다운로드 할수 있는 링크는 저희도 좀 확인해본후 회신드리겠습니다.
그리고 jdk버전 파일 공유는 힘드실까요? 아 넵
감사합니다
Oracle JDK는 안되는 것이지요? @스코인포
사용하시는 JDK 배포판 업체를 아실까요?
혹은 OpenJDK를 쓰시나요?
@스코인포 님 다른쓰레드에서 회신드렸습니다.
--- 혼란 막기 위해 이 쓰레드는 닫을게요