내가 운영하는 윈도우 서버 또는 PC는 어떤 버전의 SSL/TLS 를 지원할까?

2일 전 글로벌 보안팀에서 연락을 받았다.

내가 운영하는 서버에서 SSL / TLS Cipher Suit에 취약한 부분이 있다는 연락이었다. 

보안 강도가 낮은 암호 도구를 사용하여 접근이 가능한 상태를 의미하는 것이다, SSL / TLS 연결을 진행하면 서로 사용 가능한 암호 알고리즘을 교환하게 되는데, 약한 알고리즘을 삭제하기로 했다. 하지만 서버에서 약한 알고리즘을 삭제하게 되면 일부 구형 OS에서는 더 이상 접근할 수 없게 된다. 어쨌든 위에서 내려온 지시이고 구형 OS 사용자는 손에 꼽을 만큼밖에 안되므로 결정하게 된 사항이다.

 

 

SSL /TLS 협상 과정

 

 

 

 

내가 해결해야 할 취약점은 CBC알고리즘의 지원을 중단하라는 것이다.

이전에 이 알고리즘을 제거했다가 일부 사용자에게 문제가 발생하여 다시 CBC알고리즘을 복구 시킨것이 문제가 되었다.

서버의 레지스트리 값 변경으로 직접 알고리즘을 차단할 수 있으며 귀찮은 경우 iiscrypto를 다운로드 받아 적용시킨다.

 

레지스트리 값 변경으로 알고리즘 차단 : https://docs.microsoft.com/ko-kr/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

암호화 알고리즘 및 프로토콜 제한 - Windows Server

 

 

iiscrypto : https://www.nartac.com/Products/IISCrypto/Download

Nartac Software - Download

 

 

 

 

 

CBC가 들어간 알고리즘을 모두 없애는 설정을 하고 서버를 재시작했다.

그리고 SSL Labs에서 해당 알고리즘이 사라졌는지 직접 검사를 돌려보았다. 

일단 전체적인 분위기는 A+ 등급으로 상당히 좋은 상태이다.

SSL Labs 결과

 

 

 

 

그리고 결과서를 보다 보면 Cipher Suits 부분이 있다.

TLS 1.2 까지만 지원되는 OS 이므로 나름 최대치를 설정했다.

찾아보니 TLS 1.3은 Nginx를 이용하여 설정할 수 있지만 그렇게 까지 해야 된다고 권고받지 않았다.

허용된 암호 도구를 보니 아주 간단하게 되어 있다. 몇 개 더 있지만 그다지 볼 필요는 없어 보인다.

취약점 개선하라는 임무는 완수했고 클라이언트에서 웹서버에 정상 접근이 가능한 것만 확인했다.

허용된 암호 도구

 

 

 

 

TLS 1.3 설정에 대해 궁금하지만 이것을 지원하는 윈도우 OS는 Window Server 2022 또는 Window 11이다.

그다지 보편적이지 않은 OS이므로... 패스... 테스트는 한번 해볼 예정이다. 

윈도우 OS SSL TLS 지원 범위. 출처 : 마이크로소프트

 

 

 

 

참조 링크를 몇 개 남겨 둔다.

SSL Labs : https://www.ssllabs.com/ssltest/

SSL Server Test (Powered by Qualys SSL Labs)

 

Windows SSL / TLS 지원 범위 : https://docs.microsoft.com/ko-kr/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-

TLS/SSL(Schannel SSP)의 프로토콜 - Win32 apps