반응형
일반적으로 권장되는 웹 서버의 SSL 프로토콜과 암호화 알고리즘(Cipher Suite) 설정
웹 서버의 SSL 프로토콜과 암호화 알고리즘(Cipher Suite) 설정은 보안을 강화하고 보안 취약점을 방지하기 위해 중요합니다. 하지만 권장 값은 시간이 지남에 따라 변경될 수 있으며, 보안 관련 업데이트와 취약점을 감지하고 개선하기 위해 지속적인 모니터링이 필요합니다.
일반적으로 권장되는 SSL 프로토콜 및 Cipher Suite 설정입니다. 최신 보안 지침을 따르기 위해 웹 서버를 설정할 때는 최신 정보를 확인하고 적용하는 것이 좋습니다.
참고 - SSL주요 웹 브라우저(Chrome, IE, Edge 등)에서 2020년부터 TLS 1.0, TLS 1.1 암호화 프로토콜 통신 지원이 중단되어 있습니다.
http-ssl.conf 편집(http-ssl.conf)
- SSLProtocol -all +TLSv1.2 +TLSv1.3
- SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
- http-ssl.conf 편집(OpenSSL 1.1.1 이상)
vim httpd-ssl.conf
$ vim httpd-ssl.conf
# TLS 1.2 및 TLS 1.3을 제외한 모든 프로토콜은 제외됩니다.
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
- http-ssl.conf 편집(OpenSSL 1.0.1 이상)
vim httpd-ssl.conf
$ vim httpd-ssl.conf
# SSLv2, SSLv3, TLSv1, TLSv1.1을 제외한 모든 것을 활성화합니다
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
기타 보안 설정
- HTTP Strict Transport Security (HSTS): HSTS를 활성화하여 HTTPS로만 통신하도록 강제하는 것이 좋습니다.
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
- SSL 세션 캐싱: SSL 세션 캐싱을 사용하여 SSL 핸드셰이크의 오버헤드를 줄입니다.
SSLSessionCache "shmcb:/path/to/cache_file(512000)"
SSLSessionCacheTimeout 300
728x90
User Agent Capabilities
- 오래된 SSL/TLS 버전을 해제하면 일부 디바이스에서 접속이 되지 않을 수 있습니다. 아래 표 참고하세요
https://www.ssllabs.com/ssltest/clients.html
TLS 1.2/1.3 Support Tables
W3cubDocs/Support Tables : tls1-2, tls1-3
728x90
반응형
'리눅스' 카테고리의 다른 글
Nginx의 액세스 로그에서 공격자 IP(attacker ip) 주소를 추출하는 방법 (0) | 2021.05.04 |
---|---|
timedatectl 명령어 (0) | 2021.04.26 |
[리눅스] centos8 network 재기동 (0) | 2021.04.12 |
Mariadb의 비밀번호를 재설정하는 방법 (0) | 2021.04.12 |
Zabbix Proxy 서버를 설치하고 구성하는 방법 (0) | 2021.04.10 |