4.3. SSL/TLS 프로토콜 버전

4.3.1. 개요
링크 복사

Apache CXF에서 지원하는 SSL/TLS 프로토콜 버전은 구성된 특정 JSSE 공급자에 따라 다릅니다. 기본적으로 JSSE 공급자는 SUN의 JSSE 공급자 구현으로 구성됩니다.

주의

SSL/TLS 보안을 활성화하는 경우 Poodle 취약점(CVE-2014-3566) 으로부터 보호하기 위해 SSLv3 프로토콜을 명시적으로 비활성화해야 합니다. 자세한 내용은 JBoss Fuse 6.x 및 JBoss A-MQ 6.x에서 SSLv3 비활성화 를 참조하십시오.

4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전
링크 복사

표 4.2. “SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜” SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜 버전을 보여줍니다.

Expand

표 4.2. SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜
프로토콜	설명
`SSLv2Hello`	사용하지 마십시오! (POODLE 보안 취약점)
`SSLv3`	사용하지 마십시오! (POODLE 보안 취약점)
`TLSv1`	TLS 버전 1 지원
`TLSv1.1`	TLS 버전 1.1 지원 (JDK 7 이상)
`TLSv1.2`	TLS 버전 1.2 지원 (JDK 7 이상)

4.3.3. 특정 SSL/TLS 프로토콜 버전 제외
링크 복사

기본적으로 JSSE 공급자가 제공하는 모든 SSL/TLS 프로토콜은 CXF 엔드포인트에서 사용할 수 있습니다( SSLv2Hello 및 SSLv3 프로토콜 제외). 이 프로토콜은 Poodle 취약점 (CVE-2014-3566)이후 Fuse 버전 6.2.0 이후 CXF 런타임에서 특별히 제외되었습니다.

특정 SSL/TLS 프로토콜을 제외하려면 엔드포인트 구성에서 sec:excludeProtocols 요소를 사용합니다. sec:excludeProtocols 요소를 httpj:tlsServerParameters 요소(서버 측)의 하위로 구성할 수 있습니다.

TLS 버전 1.2를 제외한 모든 프로토콜을 제외하려면 sec:excludeProtocols 요소를 다음과 같이 구성합니다 ( JDK 7 이상을 사용한다고 가정).

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
  ...
  <httpj:engine-factory bus="cxf">
    <httpj:engine port="9001">
      ...
      <httpj:tlsServerParameters>
        ...
        <sec:excludeProtocols>
          <sec:excludeProtocol>SSLv2Hello</sec:excludeProtocol>
          <sec:excludeProtocol>SSLv3</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1.1</sec:excludeProtocol>
        </sec:excludeProtocols>
      </httpj:tlsServerParameters>
    </httpj:engine>
  </httpj:engine-factory>
  ...
</beans>

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
  ...
  <httpj:engine-factory bus="cxf">
    <httpj:engine port="9001">
      ...
      <httpj:tlsServerParameters>
        ...
        <sec:excludeProtocols>
          <sec:excludeProtocol>SSLv2Hello</sec:excludeProtocol>
          <sec:excludeProtocol>SSLv3</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1.1</sec:excludeProtocol>
        </sec:excludeProtocols>
      </httpj:tlsServerParameters>
    </httpj:engine>
  </httpj:engine-factory>
  ...
</beans>

Copy to Clipboard

Toggle word wrap

중요

Poodle 취약점 (CVE-2014-3566) 으로부터 보호하기 위해 항상 SSLv2Hello 및 SSLv3 프로토콜을 제외하는 것이 좋습니다.

4.3.4. secureSocketProtocol attribute
링크 복사

http:tlsClientParameters 요소와 httpj:tlsServerParameters 요소 모두 secureSocketProtocol 속성을 지원하므로 특정 프로토콜을 지정할 수 있습니다.

이 속성의 의미 체계는 혼동하지만, 이 속성은 CXF가 지정된 프로토콜을 지원하는 SSL 공급자를 선택하도록 강제 하지만 지정된 프로토콜만 사용하도록 공급자는 제한하지 않습니다. 따라서 끝점은 지정된 프로토콜과 다른 프로토콜을 사용할 수 있습니다. 이러한 이유로 코드에서 secureSocketProtocol 속성을 사용하지 않는 것이 좋습니다.

4.3.1. 개요
링크 복사

4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전
링크 복사

4.3.3. 특정 SSL/TLS 프로토콜 버전 제외
링크 복사

4.3.4. secureSocketProtocol attribute
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3. SSL/TLS 프로토콜 버전

4.3.1. 개요링크 복사링크가 클립보드에 복사되었습니다!

4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전링크 복사링크가 클립보드에 복사되었습니다!

4.3.3. 특정 SSL/TLS 프로토콜 버전 제외링크 복사링크가 클립보드에 복사되었습니다!

4.3.4. secureSocketProtocol attribute링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.3.1. 개요
링크 복사

4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전
링크 복사

4.3.3. 특정 SSL/TLS 프로토콜 버전 제외
링크 복사

4.3.4. secureSocketProtocol attribute
링크 복사