본문 바로가기

리눅스

일반적으로 권장되는 웹 서버의 SSL 프로토콜과 암호화 알고리즘(Cipher Suite) 설정

728x90

일반적으로 권장되는 웹 서버의 SSL 프로토콜과 암호화 알고리즘(Cipher Suite) 설정

웹 서버의 SSL 프로토콜과 암호화 알고리즘(Cipher Suite) 설정은 보안을 강화하고 보안 취약점을 방지하기 위해 중요합니다. 하지만 권장 값은 시간이 지남에 따라 변경될 수 있으며, 보안 관련 업데이트와 취약점을 감지하고 개선하기 위해 지속적인 모니터링이 필요합니다.

일반적으로 권장되는 SSL 프로토콜 및 Cipher Suite 설정입니다. 최신 보안 지침을 따르기 위해 웹 서버를 설정할 때는 최신 정보를 확인하고 적용하는 것이 좋습니다.

 

참고 - SSL주요 웹 브라우저(Chrome, IE, Edge 등)에서 2020년부터 TLS 1.0, TLS 1.1 암호화 프로토콜 통신 지원이 중단되어 있습니다.

http-ssl.conf 편집(http-ssl.conf)

  • SSLProtocol -all +TLSv1.2 +TLSv1.3
  • SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
  • http-ssl.conf 편집(OpenSSL 1.1.1 이상)
vim httpd-ssl.conf
$ vim httpd-ssl.conf
# TLS 1.2 및 TLS 1.3을 제외한 모든 프로토콜은 제외됩니다.
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
  • http-ssl.conf 편집(OpenSSL 1.0.1 이상)
vim httpd-ssl.conf
$ vim httpd-ssl.conf
# SSLv2, SSLv3, TLSv1, TLSv1.1을 제외한 모든 것을 활성화합니다
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

기타 보안 설정

  • HTTP Strict Transport Security (HSTS): HSTS를 활성화하여 HTTPS로만 통신하도록 강제하는 것이 좋습니다.
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
  • SSL 세션 캐싱: SSL 세션 캐싱을 사용하여 SSL 핸드셰이크의 오버헤드를 줄입니다.
SSLSessionCache "shmcb:/path/to/cache_file(512000)"
SSLSessionCacheTimeout 300
728x90

User Agent Capabilities

  • 오래된 SSL/TLS 버전을 해제하면 일부 디바이스에서 접속이 되지 않을 수 있습니다. 아래 표 참고하세요

s1

https://www.ssllabs.com/ssltest/clients.html

TLS 1.2/1.3 Support Tables

s2
s3

W3cubDocs/Support Tables : tls1-2, tls1-3

 

728x90