스크린샷: 기본 구성이 포함된 SSL 인증서를 사용하여 실행 중인 Wowza가 있는 서버
기본 구성을 사용하여 SSLLabs에서 이 결과를 얻었습니다(스크린샷 참조). 구성을 변경할 수 있는 유일한 장소는 아마도 다음 항목을 구성할 수 있는 VHost.xml일 것입니다.
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
나는 이것을 읽었다https://www.wowza.com/docs/how-to-improve-ssl-configuration, 하지만 별로 도움이 되지는 않습니다.
질문: 최신 SSL 구성을 얻으려면 "Cipher Suites" 및 "Protocols" 항목에 무엇을 추가할 수 있습니까? 아니면 어디서 읽을 수 있나요?
답변1
귀하가 제공한 문서 링크에는 사용된 서버 소프트웨어가 언급되어 있지 않습니다. 그러나 기록된 메시지를 통해 일반적인 OpenSSL 용어를 이해하고 있다고 결론을 내렸습니다.
nginx에서 다음 설정을 사용하여 A~A+ 등급을 받았습니다.
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(쉼표로 구분된 목록을 제공해야 할 수도 있습니다. 서버 소프트웨어에 따라 다릅니다.)
이 정도면 B등급을 받기에 충분합니다.
나는 또한 다음 진술을 사용합니다.
ssl_prefer_server_ciphers on;
이렇게 하면 클라이언트 측에서 보안이 다운그레이드되는 것을 방지할 수 있습니다. 귀하가 게시한 구성에서 설정할 수 있는 옵션이 표시되지 않기 때문에 귀하의 공급자가 기본적으로 이 작업을 수행하기를 바랍니다.
추가로 구현할 수 있는 경우HSTS등급을 A+로 향상시킬 수 있습니다. HSTS를 구현한다는 것은 다음과 같은 HTTP 헤더를 전달하는 것을 의미합니다.
Strict-Transport-Security: max-age=31536000; includeSubDomains
이로 인해 최신 브라우저는 지난 31,536,000초 내에 이 헤더를 내보낸 서버에 대한 보안되지 않은 연결을 거부합니다.