4.3. SSL/TLS 프로토콜 버전
4.3.1. 개요 링크 복사링크가 클립보드에 복사되었습니다!
Apache CXF에서 지원하는 SSL/TLS 프로토콜 버전은 구성된 특정 JSSE 공급자에 따라 다릅니다. 기본적으로 JSSE 공급자는 SUN의 JSSE 공급자 구현으로 구성됩니다.
SSL/TLS 보안을 활성화하는 경우 Poodle 취약점(CVE-2014-3566) 으로부터 보호하기 위해 SSLv3 프로토콜을 명시적으로 비활성화해야 합니다. 자세한 내용은 JBoss Fuse 6.x 및 JBoss A-MQ 6.x에서 SSLv3 비활성화 를 참조하십시오.
4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전 링크 복사링크가 클립보드에 복사되었습니다!
표 4.2. “SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜” SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜 버전을 보여줍니다.
프로토콜 | 설명 |
---|---|
| 사용하지 마십시오! (POODLE 보안 취약점) |
| 사용하지 마십시오! (POODLE 보안 취약점) |
| TLS 버전 1 지원 |
| TLS 버전 1.1 지원 (JDK 7 이상) |
| TLS 버전 1.2 지원 (JDK 7 이상) |
4.3.3. 특정 SSL/TLS 프로토콜 버전 제외 링크 복사링크가 클립보드에 복사되었습니다!
기본적으로 JSSE 공급자가 제공하는 모든 SSL/TLS 프로토콜은 CXF 엔드포인트에서 사용할 수 있습니다( SSLv2Hello
및 SSLv3
프로토콜 제외). 이 프로토콜은 Poodle 취약점 (CVE-2014-3566)이후 Fuse 버전 6.2.0 이후 CXF 런타임에서 특별히 제외되었습니다.
특정 SSL/TLS 프로토콜을 제외하려면 엔드포인트 구성에서 sec:excludeProtocols
요소를 사용합니다. sec:excludeProtocols
요소를 httpj:tlsServerParameters
요소(서버 측)의 하위로 구성할 수 있습니다.
TLS 버전 1.2를 제외한 모든 프로토콜을 제외하려면 sec:excludeProtocols
요소를 다음과 같이 구성합니다 ( JDK 7 이상을 사용한다고 가정).
Poodle 취약점 (CVE-2014-3566) 으로부터 보호하기 위해 항상 SSLv2Hello
및 SSLv3
프로토콜을 제외하는 것이 좋습니다.
4.3.4. secureSocketProtocol attribute 링크 복사링크가 클립보드에 복사되었습니다!
http:tlsClientParameters
요소와 httpj:tlsServerParameters
요소 모두 secureSocketProtocol
속성을 지원하므로 특정 프로토콜을 지정할 수 있습니다.
이 속성의 의미 체계는 혼동하지만, 이 속성은 CXF가 지정된 프로토콜을 지원하는 SSL 공급자를 선택하도록 강제 하지만 지정된 프로토콜만 사용하도록 공급자는 제한하지 않습니다. 따라서 끝점은 지정된 프로토콜과 다른 프로토콜을 사용할 수 있습니다. 이러한 이유로 코드에서 secureSocketProtocol
속성을 사용하지 않는 것이 좋습니다.