Apache 서버에서 CBC 암호 제품군을 제거하기 위해 아래 설정을 시도했습니다.
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
몇 가지 재테스트를 수행한 후에도 CBC 암호 제품군은 내 Apache에서 계속 활성화되어 있습니다. 어떤 제품군을 제거/추가해야 할지 잘 모르겠습니다.
답변1
이는 Apache 설치에서 사용하는 TLS 라이브러리인 OpenSSL의 일반적인 함정입니다. OpenSSL은 암호화 제품군의 이름을 지정하지 않습니다.전체 IANA 이름그러나 흔히 사용되는 연결 모드를 생략하는 단순화된 모드가 많습니다. 그것은 나쁜 생각이며 새로 추가된 제품군에 대해서는 더 이상 그렇게 하지 않을 것이라고 생각합니다.
구성에서 여전히 일부 CBC 제품군을 요구합니다. 예를 들어 실제로는 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384인 ECDHE-ECDSA-AES256-SHA384가 있습니다. 연결 모드를 지정하지 않은 AES 제품군은 OpenSSL(및 Apache)에서 CBC를 사용하고 있을 가능성이 높습니다.
확인하면서 하나씩 사냥하시면 됩니다https://ciphersuite.info/cs/?sort=asc&security=all&singlepage=true&tls=tls12&software=openssl또는 제가 추천하는 옵션은 Mozilla SSL 구성 생성기를 사용하여 잘 작동하는 것으로 알려진 구성을 신속하게 얻는 것입니다(https://ssl-config.mozilla.org/). CBC 제품군을 포함하는 생성기를 피하려면 아주 오래된 클라이언트의 연결을 허용하는 일부 CBC 제품군이 포함된 "Old" 설정으로 "Intermediate"를 선택하십시오.