Security #2. Webserver(웹서버) TLS 1.2 미만 차단조치(Apache, IHS)

개요

TLS 1.2 미만 프로토콜 지원중단에 따른 Webserver TLS 1.2 미만 차단조치

암호화 프로토콜 차단

웹서버의 기능중 암호화 프로토콜 인증서를 사용하여 https통신을 제어하는 기능이 있다. 이번 포스팅에서는 흔히 말하는 SSL 인증서와, 멀티도메인 그리고 최근 지원이 중단된 TLS 1.0, 1.1에 대한 웹서버에서의 차단방법에 대해 알아 본다. tls와 ssl에 대한 기본적인 이해는 다음 포스팅을 참고하면 좋을 것 같다.

Security #1. TLS와 SSL에 대한 이해

 

 

 

SSL 인증서를 사용하는 이유

 

SSL인증서는 서버 및 시스템의 정보 보호조치를 위해 보안서버를 구축하는데 필요하다. 이는 전통적인 네트워크 구조에서 통신이 이루어지는 과정에는 누군가 통신패킷을 훔쳐볼 수 있기때문인데, 이때 개인정보나 PW같은 중요 정보들이 해킹당하는 위험이 발생한다. 이를 방지하기위한 대책으로 마련된 암호화방식이 SSL/TLS 기술이며 서명과 같은 인증서 방식을 사용하여 패킷데이터를 암호화하고 신뢰할 수 있는지에 대한 여부를 확인하는 기능을한다. 통상 SSL인증서라고 불린다.

 

보안서버를 구축 시에는 직접 만드는것이 아닌 인증서 발급업체에서 SSL인증서를 구매하여 웹서버에 설치를 해야한다. 또한, 그 인증서의 레벨에 따라 도메인만 확인할 수 도, 기관과 조직명을 확인할 수도 있다. 

 

잘 정리된 블로그가 있어서 링크를 첨부한다.

154. [Security] SSL과 인증서 구조 이해하기 : CA (Certificate Authority) 를 중심으로

 

 

와일드카드 인증서

 

 

필자가 운영중인 시스템에서는 와일드카드로 인증서를 관리하고있다. 일명 와일드카드라고도 불리는 이 멀티도메인 SSL인증서의 종류는 각각의 서브 도메인별로 발급을 받아야했던 형식에서 1개의 인증서로 서브 도메인까지 인증서 적용이 가능한 방식을 의미한다. 예를들어 *.example.com 와일드카드 도메인 인증서를 발급받으면 a.example.com, b.example.com, c.example.com 등의 도메인 사용이 가능하다. 단, 아래 참고링크에 나와있는것 처럼 *표시 위치단계(서브)에서만 호스트 무제한이다. 즉 a.a.example.com은 별도로 등록해줘야하니 주의해야한다. 해당경우는 Multi-Wildcard SSL 인증서를 사용해서 여러개의 와일드카드 도메인을 한개의 인증서로 사용가능하다.

 

보통 도메인을 얘기할때 FQDN, SAN인증서, 멀티도메인 인증서 등의 용어를 알면 이해에 더욱 도움이 된다.(링크참조)

와일드카드 Wildcard SSL 인증서란? - SecureSign

 

 

 

SSL Protocol 차단조치

 

필자가 작업을위해 수정했던 Web server는 Apache http서버와 IHS(IBM HTTP Server)이다. 사실 IHS도 아파치의 그것과 거의 동일하기 때문에 기능의 차이는 없지만 설정하는 부분에서는 일부 다른점이 있다.

 

Apahce http Web server

 

ssl.conf 파일수정 (Centos 7.x 기준)

 

SSLProtocol이라는 문자열을 검색한 후 TLSv1과 TLSv1.1을 추가한다. 여러개의 도메인을 사용중인경우 각 VirtualHost마다 아래 설정을 해줘야한다.

$ vi /etc/httpd/conf.d/ssl.conf


...
# SSLProtocol이라는 문자열을 검색한 후 TLSv1과 TLSv1.1을 추가한다.

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

...

 

이후 웹서버 재기동을 실시하면 적용이 완료된다.

 

IHS(IBM HTTP Server)

 

httpd.conf 파일 수정(AIX 5.3 기준)

 

IHS가 위치한 루트기준 /conf/httpd.conf 파일을 수정한다. 위와 마찬가지로 VirtualHost 사용하는 경우 해당 VirtualHost마다 아래 설정을 해야한다.

 

$vi IHS폴더/conf/httpd.conf


...
# SSLProtocolDisable 문자열 검색후 TLSv10 TLSv11 추가

SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11

...

 

IHS 역시 설정 이후 웹서버 재기동을 실시하면 적용이 완료된다.

 

 

적용여부 확인

 

잘 적용되었는지 브라우저단에서 간단히 확인할 때는 '브라우저 설정 > 인터넷옵션 > 고급탭에 들어가서 TLS 1.2 사용체크박스를 해제후 적용했던 웹서버의 페이지로 접속하면 확인이가능하다.

 

 

정상적으로 적용되었다면 아래와 같이 출력된다.