변군이글루

[리눅스] 웹서버 SSL Protocol 및 Cipher Suite 설정 권장 값 본문

* 리눅스

[리눅스] 웹서버 SSL Protocol 및 Cipher Suite 설정 권장 값

변군 변군이글루 2021. 4. 21. 14:39
728x90

웹서버 SSL Protocol 및 Cipher Suite 설정 권장 값

 : SSL주요 웹 브라우저(Chrome, IE, Edge 등)에서 2020년부터 TLS 1.0, TLS 1.1 암호화 프로토콜 통신 지원이 중단되어 있습니다.

http-ssl.conf 편집

vim http-ssl.conf

SSLProtocol -all +TLSv1.2 +TLSv1.3

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

 

http-ssl.conf 편집(OpenSSL 1.1.1 이상)

$ vim httpd-ssl.conf
# TLS 1.2 및 TLS 1.3을 제외한 모든 프로토콜은 제외됩니다.
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1

http-ssl.conf 편집(OpenSSL 1.0.1 이상)

$ vim httpd-ssl.conf
# SSLv2, SSLv3, TLSv1, TLSv1.1을 제외한 모든 것을 활성화합니다
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

User Agent Capabilities

 :  오래된 SSL/TLS 버전을 해제하면 일부 디바이스에서 접속이 되지 않을 수 있습니다. 아래 표 참고하세요

https://www.ssllabs.com/ssltest/clients.html

 

Qualys SSL Labs - Projects / User Agent Capabilities

User Agent Capabilities JSON User agent TLS 1.3 TLS 1.2 SNI Forward Secrecy Stapling Session Tickets Android 2.3.7 No No No Yes No No Android 4.0.4 No No Yes Yes No Yes Android 4.1.1 No No Yes Yes No Yes Android 4.2.2 No No Yes Yes No Yes Android 4.3 No No

www.ssllabs.com

TLS 1.2/1.3 Support Tables

W3cubDocs/Support Tables : tls1-2, tls1-3

728x90
0 Comments
댓글쓰기 폼