SSL/TLS μ€μ μ΅μ ν: 보μκ³Ό μ±λ₯μ κ· ν λ§μΆκΈ°
SSL/TLS μ€μ μ΅μ ν: 보μκ³Ό μ±λ₯μ κ· ν λ§μΆκΈ°
SSL/TLSλ₯Ό μ€μ ν λ 보μκ³Ό μ±λ₯ μ¬μ΄μ κ· νμ μ μ§νλ κ²μ΄ μ€μν©λλ€. 보μμ μ§λμΉκ² κ°ννλ©΄ μ±λ₯μ΄ μ νλ μ μκ³ , μ±λ₯μ μ§λμΉκ² κ³ λ €νλ©΄ 보μμ΄ μ½νλ μ μμ΅λλ€. λ€μμ SSL/TLS μ€μ μ μ΅μ νλ κΆμ₯ μ€μ μ λλ€.
Nginx μλ²μμμ SSL μ΅μ ν μμ
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/example.crt;
ssl_certificate_key /etc/ssl/private/example.key;
# 보μ μ΅μ ν
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers HIGH:!aNULL:!MD5;
# μ±λ₯ μ΅μ ν
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# HSTS μ€μ μΌλ‘ 보μ κ°ν
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
location / {
proxy_pass http://localhost:8080;
}
}
SSL/TLS μ€μ μ΅μ ν: 보μκ³Ό μ±λ₯μ κ· ν λ§μΆκΈ°
SSL/TLSλ₯Ό μ€μ ν λ 보μκ³Ό μ±λ₯ μ¬μ΄μ κ· νμ μ μ§νλ κ²μ΄ μ€μν©λλ€. 보μμ μ§λμΉκ² κ°ννλ©΄ μ±λ₯μ΄ μ νλ μ μκ³ , μ±λ₯μ μ§λμΉκ² κ³ λ €νλ©΄ 보μμ΄ μ½νλ μ μμ΅λλ€. λ€μμ SSL/TLS μ€μ μ μ΅μ νλ κΆμ₯ μ€μ μ λλ€.
Nginx μλ²μμμ SSL μ΅μ ν μμ
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/example.crt;
ssl_certificate_key /etc/ssl/private/example.key;
# 보μ μ΅μ ν
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers HIGH:!aNULL:!MD5;
# μ±λ₯ μ΅μ ν
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# HSTS μ€μ μΌλ‘ 보μ κ°ν
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
location / {
proxy_pass http://localhost:8080;
}
}
μ½λ μ€λͺ :
- ssl_protocols : TLS 1.2μ 1.3λ§ μ¬μ©νμ¬ μ·¨μ½ν νλ‘ν μ½μ μ°¨λ¨ν©λλ€.
- ssl_ciphers : μ·¨μ½ν μνΈν μκ³ λ¦¬μ¦μ μ μΈν μμ ν μνΈν λ°©μμ μ¬μ©ν©λλ€.
- ssl_session_cache : μΈμ μΊμλ₯Ό μ¬μ©ν΄ νΈλμ °μ΄ν¬ μ±λ₯μ μ΅μ νν©λλ€.
- HSTS νμ±ν : κ°μ HTTPS μ°κ²°λ‘ μ€κ°μ 곡격μ λ°©μ§ν©λλ€.
SSL/TLS μ·¨μ½μ λμ 체ν¬λ¦¬μ€νΈ
SSL/TLS 보μμ κ°ννκΈ° μν΄ λ€μ 체ν¬λ¦¬μ€νΈ λ₯Ό λ°λΌ μ€μ μ μ κ²νμΈμ.
μ κ² νλͺ© | μ€λͺ | μν |
---|---|---|
μ΅μ νλ‘ν μ½ μ¬μ© | TLS 1.2, TLS 1.3λ§ νμ© | β |
SSL 3.0 λ° μ·¨μ½ν μκ³ λ¦¬μ¦ λΉνμ±ν | POODLE 곡격 λ°©μ§λ₯Ό μν΄ SSL 3.0 μ°¨λ¨ | β |
HSTS νμ±ν | HTTPS μ°κ²°μ κ°μ ν΄ SSL μ€νΈλ¦½ 곡격 λ°©μ§ | β |
μΈμ¦μ κ°±μ μλν | λ§λ£λ μΈμ¦μλ‘ μΈν κ²½κ³ λ©μμ§ λ°©μ§ | β |
OCSP Stapling νμ±ν | μΈμ¦μ μνλ₯Ό λΉ λ₯΄κ² νμΈν΄ νΈλμ °μ΄ν¬ μ΅μ ν | β |
κ²°λ‘ : μμ ν μΉ μ΄μμ μν SSL/TLS μ€μ μ μ€μμ±
SSL/TLSλ μΈν°λ· 보μμ ν΅μ¬ μμ λ‘, μ΅μ νλ‘ν μ½κ³Ό κ°λ ₯ν μνΈν μκ³ λ¦¬μ¦μ μ¬μ©ν΄ μμ ν μ°κ²°μ 보μ₯ν΄μΌ ν©λλ€. μ·¨μ½μ μ λν μ΄ν΄μ 보μ μ€μ μ΅μ νλ μΉμ¬μ΄νΈμ μ±λ₯κ³Ό μ λ’°λ λ₯Ό λμμ ν₯μμν΅λλ€.
- SSL μ€νΈλ¦½, POODLE, Heartbleed μ κ°μ 곡격μ λλΉν΄ 보μμ κ°νν©λλ€.
- μ΅μ TLS 1.3 νλ‘ν μ½ κ³Ό μμ ν μνΈν μκ³ λ¦¬μ¦μ μ¬μ©ν΄ λ°μ΄ν° 보νΈλ₯Ό κ°νν©λλ€.
- HSTSμ OCSP Stapling μ ν΅ν΄ μ±λ₯κ³Ό 보μμ λͺ¨λ ν보ν©λλ€.
FAQ
Q1. SSL μΈμ¦μκ° λ§λ£λλ©΄ μ΄λ»κ² λλμ?
A1. λ§λ£λ μΈμ¦μλ‘ μ μ μ ‘μμ νμ§ μμ’ κ²½κ³ κ° νμλλ©°, μ¬μ©μλ μ¬μ΄νΈμ λν μ λ’°λ₯Ό μμ μ μμ΅λλ€. μλ κ°±μ μ μ€μ ν΄ λ§λ£λ₯Ό λ°©μ§νμΈμ.
Q2. SSL μ€νΈλ¦½ 곡격μ μ΄λ»κ² λ§μ μ μλμ?
A2. HSTS(HTTP Strict Transport Security) λ₯Ό νμ±νν΄ λΈλΌμ°μ κ° νμ HTTPSλ‘ μ°κ²°λλλ‘ ν©λλ€.
Q3. POODLE 곡격μ μ΄λ»κ² λ°©μ§ν μ μλμ?
A3. SSL 3.0 μ λΉνμ±ννκ³ TLS 1.2 μ΄μ μ μ¬μ©νλ©΄ POODLE 곡격μ μ°¨λ¨ν μ μμ΅λλ€.
Q4. μ΅μ νλ‘ν μ½(TLS 1.3)μ μ¬μ©νλ©΄ μ±λ₯μ΄ ν₯μλλμ?
A4. TLS 1.3 μ νΈλμ
°μ΄ν¬ κ³Όμ μ΄ λ¨μΆλμ΄ μ±λ₯μ΄ ν₯μλ©λλ€. λν, μμ ν μνΈν μκ³ λ¦¬μ¦λ§ μ¬μ©ν©λλ€.
Q5. OCSP Staplingμ 무μμΈκ°μ?
A5. OCSP Stapling μ μΈμ¦μ μνλ₯Ό μλ²μμ 미리 νμΈν΄, ν΄λΌμ΄μΈνΈμ μμ² μκ°μ μ€μ΄κ³ νΈλμ
°μ΄ν¬ μ±λ₯μ μ΅μ νν©λλ€.
λκΈ