- WebtoB 보안취약점 이슈로 많이 나오는 부분으로 TLS 버전 설정하기와 Ciphers 암호화 설정하기가 있다.
- WebtoB 의 경우 4.1.5.3 버전 부터 TLS1.2 버전을 사용할 수 있고 5.0.0.4 버전 이후로는 TLS1.3 까지 사용 가능하다.
- wsadmin -v 명령어를 통해 WebtoB 버전을 확인하고 TLS 버전을 적용하면 된다.
- WebtoB는 별도로 설정하지 않아로 기본 Ciphers 값을 갖고 있으니 참고한다.
기본값 HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!3DES
:는 AND 의미 ! 은 NOT(허용하지 않음)을 의미한다.
- 적용한 TLS, Ciphers 는 nmap 이라는 명령어를 통해 요청 도메인에 대한 TLS, Ciphers 값을 확인 할 수 있다.
nmap은 별도 명령어로 구글링을 하여 다운 받아야 한다.
1. WebtoB TLS 설정하기
*SSL
ssl1 CertificateFile="C:/TmaxSoft/WebtoB4.1/ssl/newcert.pem",
CertificateKeyFile="C:/TmaxSoft/WebtoB4.1/ssl/newcert.pem",
Protocols="-SSLv2, -SSLv3",
RequiredCiphers = "HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!3DES"
Protocols에 값을 넣으면 되고 - 기호는 허용하지 않음을 의미한다.
즉, TLS1.2 버전만 사용하고 싶다면
Protocols="-SSLv2, -SSLv3, -TLSv1, -TLSv1.1" 이라고 넣으면된다.
WebtoB 설정시 컴파일(wscfl -i http.m) 재 기동(wsdown > wsboot)은 필수 이다.
2. WebtoB Ciphers 설정하기
RequiredCiphers 에 값을 넣으면 되는데 Ciphers의 경우 JDK에 따른 허용 알고리즘의 차이가 있을 수 있고, 웹방화벽이나 클라우드에서 차단하는 경우도 있으니 개발기에서 서비스 확인 후 운영기에 적용하길 바란다. 특정 알고리즘을 차단 했을 때 서비스가 안 될 수도 있기 때문이다.
*적용 예시
RequiredCiphers = "HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!DES:!3DES:!SHA:!SHA1:!MD5:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
보통 보안취약점에서 어떤 값을 넣으라고 조치값을 알려주기 때문에 WebtoB 기본 설정 값에 취약점 내용을 넣어주면 된다.
컴파일 재 기동 후 WebtoB 에서 잘 적용 됐는지 확인해보려면 wsadmin 입력 후, cfg -ssl 을 입력하면 적용 된 값을 볼 수 있다.
