자유 게시판

인증서 교체가 완료되었네요

2017.09.03 01:02

mrsshr 조회:1057

SSLv3랑 3DES도 끄면 더 좋을것같습니다.

https://windowsforum.kr/free/9076020 홈으로 위로 목록

댓글 [5]

DarknessAngel 2017.09.03 05:24

지금 저도 확인해봤습니다 (보안 부분 꽤 고쳐졌군요)

1. let's encrypt말고 잡히는 localhost용 도메인 제거를 추천합니다

2. SSL3 끄는걸 추천합니다

3. 3des끄는걸 추천합니다 (어차피 SNI쓰면 xp + ie 접속 불가능하므로 굳이 지원할 이유 없음)

4. xp + ie를 무시하면 현 시점에서 추천되는 cipher는 ECDH+AESGCM:ECDH+AES256:ECDH+AES128:!aNULL:!MD5:!DSS:!DHE:!kEDH:HIGH:!eNULL:!EXPORT:!DES:!RC4:!PSK:!AECDH:!LOW:!SRP:!ADH:!CAMELLIA:!DH:!AES256-GCM-SHA384:!AES256-SHA256:!AES256-SHA:!AES128-GCM-SHA256:!AES128-SHA256:!AES128-SHA:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:!COMPLEMENTOFDEFAULT입니다 (TLS 1.3을 안 쓰는경우 TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384를 제거해주세요)

5, 너무 구버전인 2.2.15를 쓰고 있는데, 보안및 성능적 측면에서 업데이트를 추천합니다

6. HPKP, OCSP 사용을 추천합니다 (3개월마다 교체되는 인증서 특징상 HSTS는 무리니 패스~)

추신 : 지금 돌려보니 C 뜨는데, 이정도 하면 A뜨고, HSTS까지 쓰면 A+ 뜹니다
- 5e426cfad7fefae8ca5809b94522df04.png (42.4KB)(0)
DarknessAngel 2017.09.03 08:58

정정 : 추천 cipher

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!RSA+AES:!aNULL:!MD5:!DSS:!DHE:!kEDH:HIGH:!eNULL:!EXPORT:!DES:!RC4:!PSK:!AECDH:!LOW:!SRP:!ADH:!RSA:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:!COMPLEMENTOFDEFAULT;
gooddew 2017.09.03 12:15

조언 감사합니다.

관련 내용 조치 해보겠습니다.
DarknessAngel 2017.09.05 05:02

이번 기회에 HTTPS만 되게 https쪽은 301 redirect등으로 https로 연결하시고, 혼합된 컨텐츠 제거를 위해서 favicon등의 일부 이미지 파일 경로가 https로 된것도 https로 수정하시길 추천합니다 (가능하다면 서버 잠시 끈후 db통째로 백업해서 sql에서 https://windowsforum.kr검색해서 죄다 https로 교체하는 방법을 추천합니다)

인증서 재발급및 교체 당장에 다시 할만큼 급한 사한은 아니지만, OCSP쓰신다면 OCSP Must Staple적용을 하시길 추천합니다 (클라 쓰시는경우 자체 파라메터 스위치, 저처럼 사정이 있어서 수동인 경우는 conf의 v3_req에 1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05 1라인 추가한후 발급하면 됩니다)

XP + IE같은 구클라 고려하시는게 아니라면 Forward Security 안 되는 Cipher는 다 제거하시길 추천합니다

Certificate Transparency, CAA는 아직 보편적인게 아니라 적용할려면 까탈스러우니 일단은 내버려두시고, OCSP stapling정도는 적용하시고, HTTTP/2도 적용해주세요

HPKP도 적용 추천드리며, HSTS는 Let's Encrypt처럼 인증서가 자주 바뀌는 경우 절.대. 적용 하시면 안 됩니다 (지금 age 0로 고쳐주세요) (안 그러면 인증서 갱신될때마다 대량의 접속 불가를 호소하는 게시물이 도배될껍니다) (HSTS 제거하면 A+ -> A가 될껀데, 유료가 아닌 Let's Encrypt를 쓰는 이상 현시점에서 별 수 없습니다)
gooddew 2017.09.05 21:19

조언 감사합니다. 적용해보도록 하겠습니다.

번호	제목	글쓴이	조회	등록일
[공지]	자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1]	gooddew	-	-
30831	cmd 스크립트.. 외계인 털어서 만든듯.. [6]	지룡자	1837	09-04
30830	주말은	DarknessAn	738	09-03
30829	YouTubeByClick 이프로그램 쓰시는분들 계세요? [7]	그린보이	1314	09-03
30828	로그인이 잘 안됩니다. [8]	K연구원	830	09-03
30827	선불 요금제중에서 한가지만 더 여쭈어 볼께요.답변 좀 부... [3]	all뽕	664	09-03
»	인증서 교체가 완료되었네요 [5]	mrsshr	1057	09-03
30825	윈도10 레드스톤3 인사이더 프리뷰 16281빌드 나왔네요 [7]	suk	1507	09-02
30824	레드스톤3 9월1일이후 컴파일 빌드부터 RTM에스크로버젼 적용 [1]	에드힐스	841	09-02
30823	윈도우10 RS3 RTM 9월중순이후 나오곘군요	에드힐스	768	09-02
30822	녹화하던 영상(확장자mp4) 파일를 수리(복구)..능력자분 계... [11]	인망이	826	09-01
30821	Windows 10 레드스톤3 정식 출시일이 10월 17일 이네요 [5]	suk	1494	09-01
30820	스마트폰에 대해서 한가지 더 여쭈어볼께 있어서 질문 드립... [4]	all뽕	479	09-01
30819	카카오 뱅크 브라보 라이언 이모티콘 1개월 제한(맞음) [4]	이세라	1323	09-01
30818	윈도10 레드스톤4 인사이더 프리뷰 16353 빌드 나왔네요 [8]	suk	1166	09-01
30817	오랜만에 방문했는데 여전히 고맙네요. [2]	WFUUU	663	09-01
30816	컴퓨터 정보는 어떻게 관리하나요? [4]	5테라	748	09-01
30815	매스컴에서만 선전 나오는 쌀만 맛있는것 아닙니다. [1]	all뽕	521	09-01
30814	윈10 드라이버 업데이트 정책 마음에 안드는군요 [8]	솔트	1351	08-31
30813	현재 로그인시 보안 연결이 설정되어있지 않습니다 [3]	mrsshr	280	08-31
30812	폰 요금 25% 약정할인 9월 15일.. 이게 정확히? [3]	ton3d	856	08-30

첫 페이지 855 856 857 858 859 860 861 862 863 864 끝 페이지

홈으로 위로 목록

인증서 교체가 완료되었네요

댓글 [5]

DarknessAngel 2017.09.03 05:24

DarknessAngel 2017.09.03 08:58

gooddew 2017.09.03 12:15

DarknessAngel 2017.09.05 05:02

gooddew 2017.09.05 21:19