보안 강화를 위한 Cipher Suite 변경 관련
안녕하세요
익산(대상 상점아이디(MID): iksan7fFci) 보안 강화를 위한 Cipher Suite 변경 관련으로 요청을 받았습니다.
그저께 질문 남겼을때
" iksan7fFci 는 지금 이미 TLS 1.2 로 연동중입니다. cipher suite 만 업데이트 하시면 됩니다. "
이렇게 답변을 받았는데
1. 이뜻은 자바버전은 무조건 업데이트 해야하고, 그 후에 cipher suite 업데이트 하라는 말씀이신걸까요. 아니면 업그레이드 필요없이 cipher suite 만 업데이트 하라는걸까요?
2. 자바버전을 업데이트를 해야하는게 맞다면
현재 대상 상점 서버 자바버전이 " java version "1.7.0_261" 사용중이고, 서버환경이 제우스웹투비라
권고하신 8버전으로는 업그레이드 하기가 어려워 7u321버전 이상으로 업그레이드 시켜야하는데 해당 버전이상은 다운로드가 제한되어있어 더이상 다운로드를 받을 수 없더라구요
그래서 혹시 7버전(7u321버전 이상, 8버전 X)의 자바 다운로드파일을 공유받을 수 있을까요?
감사합니다.
6 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
JDK 7u321 버전부터 기본 Cipher Suite가 완전 순방향 비밀성을 지원하고 SHA-1 등 약한 해시를 사용하지 않는것으로 변경되었습니다.
따라서 JDK 7u321 이상으로 업그레이드 할 경우, 기본 TLS 버전 수정을 제외한 별도의 설정이 필요하지 않습니다.
JDK 7u321 미만의 버전을 사용할 경우, 최소한 JDK 7u191 이상의 버전을 사용해야 안전한 Cipher Suite들을 사용할 수 있습니다.
JDK 7u321 이상 사용시 => 별도설정없이 자동대응
JDK 7u191 이상 JDK 7u321 미만 사용시 => 별도설정필요
JDK 7u191 미만 사용시 : 불가 로 확인됩니다.
JDK 7u321 이상을 다운로드 할수 있는 링크는 저희도 좀 확인해본후 회신드리겠습니다.
저희도 확인을 좀 해보니 오라클사에서 7u4 이후버전부터는 유료로 전환을 한듯 합니다.
다만
https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html
에서 가장 최종버전인 jdk7u3 버전을 설치후 Tomcat 8.5 에서 테스트를 해보았는데 (9 이상은 jdk 1.8 이상만 설치 가능) 정상적으로 작동이 되는것 같습니다.
host: apigw-sandbox.tosspayments.com
x-amzn-tls-cipher-suite: TLS_AES_128_GCM_SHA256
x-amzn-tls-version: TLSv1.3
우선은 위 링크에서 jdk7u3 버전으로 jdk 버전업을 한 후 테스트결과를 회신부탁드립니다.
jdk7u3 버전을 설치하게되면 Cipher Suite설정이 따로 필요한가요?
jdk7u3 만 설치하면 따로 Cipher Suite설정은 필요하지 않을겁니다.
테스트를 저희도 해보았는데, 따로 설정은 필요없는것 같습니다. 다만 저희가 톰캣에서만 확인했기 때문에 다른 웹서버 및 WAS 환경에서는 다를수 있습니다.
그리고 기존 jdk 버전파일은 반드시 백업을 해두시고, 만일의 경우 원상복구할수 있는 방안도 강구하신후 작업해주시기 바랍니다.
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.