4.3. SSL/TLS 프로토콜 버전


4.3.1. 개요

Apache CXF에서 지원하는 SSL/TLS 프로토콜 버전은 구성된 특정 JSSE 공급자에 따라 다릅니다. 기본적으로 JSSE 공급자는 SUN의 JSSE 공급자 구현으로 구성됩니다.

주의

SSL/TLS 보안을 활성화하는 경우 Poodle 취약점(CVE-2014-3566) 으로부터 보호하기 위해 SSLv3 프로토콜을 명시적으로 비활성화해야 합니다. 자세한 내용은 JBoss Fuse 6.x 및 JBoss A-MQ 6.x에서 SSLv3 비활성화 를 참조하십시오.

4.3.2. SunJSSE에서 지원하는 SSL/TLS 프로토콜 버전

표 4.2. “SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜” SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜 버전을 보여줍니다.

표 4.2. SUN의 JSSE 공급자가 지원하는 SSL/TLS 프로토콜
프로토콜설명

SSLv2Hello

사용하지 마십시오! (POODLE 보안 취약점)

SSLv3

사용하지 마십시오! (POODLE 보안 취약점)

TLSv1

TLS 버전 1 지원

TLSv1.1

TLS 버전 1.1 지원 (JDK 7 이상)

TLSv1.2

TLS 버전 1.2 지원 (JDK 7 이상)

4.3.3. 특정 SSL/TLS 프로토콜 버전 제외

기본적으로 JSSE 공급자가 제공하는 모든 SSL/TLS 프로토콜은 CXF 엔드포인트에서 사용할 수 있습니다( SSLv2HelloSSLv3 프로토콜 제외). 이 프로토콜은 Poodle 취약점 (CVE-2014-3566)이후 Fuse 버전 6.2.0 이후 CXF 런타임에서 특별히 제외되었습니다.

특정 SSL/TLS 프로토콜을 제외하려면 엔드포인트 구성에서 sec:excludeProtocols 요소를 사용합니다. sec:excludeProtocols 요소를 httpj:tlsServerParameters 요소(서버 측)의 하위로 구성할 수 있습니다.

TLS 버전 1.2를 제외한 모든 프로토콜을 제외하려면 sec:excludeProtocols 요소를 다음과 같이 구성합니다 ( JDK 7 이상을 사용한다고 가정).

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
  ...
  <httpj:engine-factory bus="cxf">
    <httpj:engine port="9001">
      ...
      <httpj:tlsServerParameters>
        ...
        <sec:excludeProtocols>
          <sec:excludeProtocol>SSLv2Hello</sec:excludeProtocol>
          <sec:excludeProtocol>SSLv3</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1</sec:excludeProtocol>
          <sec:excludeProtocol>TLSv1.1</sec:excludeProtocol>
        </sec:excludeProtocols>
      </httpj:tlsServerParameters>
    </httpj:engine>
  </httpj:engine-factory>
  ...
</beans>
중요

Poodle 취약점 (CVE-2014-3566) 으로부터 보호하기 위해 항상 SSLv2HelloSSLv3 프로토콜을 제외하는 것이 좋습니다.

4.3.4. SecureSocketProtocol 특성

http:tlsClientParameters 요소와 httpj:tlsServerParameters 요소 모두 secureSocketProtocol 속성을 지원하므로 특정 프로토콜을 지정할 수 있습니다.

이 속성의 의미 체계는 혼동하지만, 이 속성은 CXF가 지정된 프로토콜을 지원하는 SSL 공급자를 선택하도록 강제 하지만 지정된 프로토콜만 사용하도록 공급자는 제한하지 않습니다. 따라서 끝점은 지정된 프로토콜과 다른 프로토콜을 사용할 수 있습니다. 이러한 이유로 코드에서 secureSocketProtocol 속성을 사용하지 않는 것이 좋습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.