본문으로 바로가기


최근 웹 보안 인증서를 갱신해달라는 업체가 많아서 교체하던중 어떤업체는 SSL/TLS 점검 사이트를 통해 보안조치가 가능한지를 문의한 고객이 있었습니다.

 

[인증서 체크사이트]

URL : https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp



다음과 같이 인증서 사용하는 도메인주소를 입력하고 Check 를 누르면 아래와같이 정보를 확인할수 있으며

본인 개인 웹서버 또는 호스팅서버의 정보가 나오며 [색깔표시]로 취약점 경고 표시를 해줍니다.



[저희 서버에서는 SSLv3 / RC4 사용되고 있어 취약하다고 표시되고 있는것을 확인할수 있었습니다.]

 

SSLv2 / SSLv3 : 는 웹브라우저와 웹서버간의 SSL(Secure Socket Layer) 프로토콜을 통해 암호화된 정보를 주고받기위한 보안기술입니다. 하지만 최근(몇년전부터) 구글에서 보안이슈[SSLv3 (Poodle) 취약점] 발표가 되면서 TLS 1.0 이상을 사용하라는 권고문을 올렸었습니다. 그뿐만 아니라 RC4 역시 취약하다는 말이 많아지면서 모든 서버관리자들에게 사용중지 또는 제거를 안내하고 있습니다.

 

※ [참고]

TLS란 ?

TLS(Transport Layer Security)는 인터넷 또는 인트라넷에서 보안 웹 통신을 제공하는 데 사용되는 표준 프로토콜입니다. 이는 클라이언트가 서버 또는 클라이언트를 인증하기 위한 서버(옵션)를 인증할 수 있도록 해줍니다. 또한 통신을 암호화하여 보안 채널을 제공합니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전입니다.

 

RC4란 ?

RC4는 데이터 암호화 및 해독에 사용되는 스트림 암호입니다.



다음은 SSLv3 / RC4 Disabled (사용중지) 처리 방법입니다.

마이크로소프트 공식홈페이지에 FIX 또는 별도 업데이트 패치파일을 제공을 하는데 저는 먹히지 않아 레지스트리 수정방법으로 적용하였습니다.

※ (저는 Windows server 2012 에서 진행합니다. 그외 서버에서는 처리 방법이 다를수 있습니다.)

 

[RC4 - disabled (사용중지) 처리] : 관련정보


1. 실행에서 regedit 입력하여 확인을 누릅니다.



2. 해당 레지스트리 경로 이동합니다. 

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers



3. Ciphers 폴더를 클릭후 마우스 오른쪽을 클릭하여 [새로만들기 → 키] 3개를 만듭니다.




4. 각각의 새 키#1.2.3 이름을 이름 바꾸기하여 아래와 같이 수정합니다.

RC4 128/128

RC4 40/128

RC4 56/128




5. 빈화면에 마우스 오른쪽 클릭하여 [새로 만들기 → DWORD(32비트) 값] 생성후 이름을 [Enabled] 바꾸고

더블클릭후 [값 데이터(0) - 16진수] 확인하면 됩니다. 이렇게 나머지 2개에 대해서도 동일하게 진행하면 됩니다.




6. 원래 제가 알기로는 레지스트리 수정은 재부팅후에 적용이 되는걸로 알고 있는데 이건 추가 수정후 바로 적용되는것 같습니다.




[SSLv3 disabled (사용중지) 처리] : 관련정보

SSLv3 역시 RC4와 방법이 비슷합니다.


1. 해당 레지스트리 경로 이동합니다. 

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

(이미 SSLv2 비활성화 되어있는게 확인이 되네요.)



2. Protocols 폴더를 클릭후 마우스 오른쪽을 클릭하여 [새로만들기 → 키] 1개를 만듭니다.




3. 새키 이름을 [SSL 3.0] 변경후 다시 마우스 오른쪽을 클릭하여 [새로만들기 → 키] 2개를 만듭니다.



4. 만든 새 키를 각각 Client / Server 이름으로 변경합니다.



5. 먼저 Client 폴더를 클릭후 [새로 만들기 → DWORD(32비트) 값] 생성합니다.



6. 이름을 [DisableByDefault] 변경하고 더블클릭후 편집 데이터 값을 [1]로 변경한후에 확인합니다.



7. 6번과 마찬가지로 Server 폴더를 클릭후 [새로 만들기 → DWORD(32비트) 값] 추가, 이름을 Enabled 변경후에 더블클릭후 편집 데이터 값을 [0]로 변경한후에 확인합니다.



8. SSLv3 설정의 경우는 서버재부팅을 해야 완전히 적용이 됩니다.


이렇게 완료가 되고 마지막으로 다시한번 사이트 체크를 해보면!



비활성화가 확인되며 더이상 경고 문구가 뜨지 않는것을 확인할수 있습니다.

지적 및 오타 정보 공유 감사드립니다.


댓글을 달아 주세요