- WebtoB 보안취약점 조치로 나오는 설정 중 하나로 재협상 설정과 DH Parameter 값 변경에 대한 설정이 있다.
- 재협상(RenegotiationLevel)의 경우 disable 로 설정하도록 조치
- DHParameter 의 경우 1024 > 2048 bit 로 변경하도록 조치
- 두 설정은 모두 SSL 절에서 가능하며 컴파일(wscfl -i http.m) 재 기동(wsdown > wsboot) 이 필요하다.
1. RenegotiationLevel = disable 설정
- SSL 절에 RenegotiationLevel = "disable" 을 추가하면 된다. (기본값 secure)
*SSL
ssl1 CertificateFile="C:/TmaxSoft/WebtoB5.0/ssl/newcert.pem",
CertificateKeyFile="C:/TmaxSoft/WebtoB5.0/ssl/newcert.pem",
CACertificateFile="C:/TmaxSoft/WebtoB5.0/ssl/CA.pem",
RenegotiationLevel = "disable",
Protocols="-SSLv2, -SSLv3",
RequiredCiphers = "HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!3DES"
RenegotiationLevel 값에 대한 설명
- SSL을 사용하는 경우 재협상(Renetotiation)의 레벨(Leve)을 설정한다.
- 다음은 설정값에 대한 설명이다.
- 설정값내용
secure 클라이언트와 웹 서버가 모두 안전한 경우 재협상을 진행한다. (예: RFC5746) insecure 클라이언트와 웹 서버가 안전하지 않더라도 재협상을 진행한다. (예: CVE-2009-3555) disable 어떠한 경우에도 재협상을 진행하지 않는다.
2. DHParameter = 2048 설정
- SSL 절에 DHParameter ="파일경로" 를 넣어준다.
*SSL
ssl1 CertificateFile="C:/TmaxSoft/WebtoB5.0/ssl/newcert.pem",
CertificateKeyFile="C:/TmaxSoft/WebtoB5.0/ssl/newcert.pem",
CACertificateFile="C:/TmaxSoft/WebtoB5.0/ssl/CA.pem",
DHParameter = "C:/TmaxSoft/WebtoB5.0/ssl/dhparam.pem",
Protocols="-SSLv2, -SSLv3",
RequiredCiphers = "HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!3DES"
WebtoB가 설치된 서버에서 CMD 혹은 콘솔 창에서 아래 명령어를 입력한다.
입력한 경로에 dhparam.pem 파일이 생긴다.
wbssl dhparam -out dhparam.pem 2048
이후 컴파일 재기동 하면 적용 완료.
