5.3. 사용자 환경에서 TLS 버전 확인


중요

TLS 버전 1.0은 Red Hat OpenStack 플랫폼에서 더 이상 사용되지 않습니다. 또한 NIST-approval에 대해 TLS 1.2를 사용해야 합니다. 자세한 내용은 선택, 구성 및 TLS(Transport Layer Security) 구현에 대한 지침 을 참조하십시오.

cipherscan 을 사용하여 배포에서 제공하는 TLS 버전을 확인할 수 있습니다. Cipherscan은 https://github.com/mozilla/cipherscan 에서 복제할 수 있습니다. 이 예제 출력은 Horizon 에서 수신한 결과를 보여줍니다.

참고

프로덕션 환경 이외의 시스템에서 암호를 실행할 수 있으므로 처음 실행할 때 추가 종속 항목을 설치할 수 있습니다.

프로세스

  • 대시보드 서비스의 액세스 가능한 URL 에 대해 암호 검사를 실행합니다.

    $ ./cipherscan https://openstack.lab.local
    ..............................
    Target: openstack.lab.local:443
    
    prio  ciphersuite                  protocols  pfs                 curves
    1     ECDHE-RSA-AES128-GCM-SHA256  TLSv1.2    ECDH,P-256,256bits  prime256v1
    2     ECDHE-RSA-AES256-GCM-SHA384  TLSv1.2    ECDH,P-256,256bits  prime256v1
    3     DHE-RSA-AES128-GCM-SHA256    TLSv1.2    DH,1024bits         None
    4     DHE-RSA-AES256-GCM-SHA384    TLSv1.2    DH,1024bits         None
    5     ECDHE-RSA-AES128-SHA256      TLSv1.2    ECDH,P-256,256bits  prime256v1
    6     ECDHE-RSA-AES256-SHA384      TLSv1.2    ECDH,P-256,256bits  prime256v1
    7     ECDHE-RSA-AES128-SHA         TLSv1.2    ECDH,P-256,256bits  prime256v1
    8     ECDHE-RSA-AES256-SHA         TLSv1.2    ECDH,P-256,256bits  prime256v1
    9     DHE-RSA-AES128-SHA256        TLSv1.2    DH,1024bits         None
    10    DHE-RSA-AES128-SHA           TLSv1.2    DH,1024bits         None
    11    DHE-RSA-AES256-SHA256        TLSv1.2    DH,1024bits         None
    12    DHE-RSA-AES256-SHA           TLSv1.2    DH,1024bits         None
    13    ECDHE-RSA-DES-CBC3-SHA       TLSv1.2    ECDH,P-256,256bits  prime256v1
    14    EDH-RSA-DES-CBC3-SHA         TLSv1.2    DH,1024bits         None
    15    AES128-GCM-SHA256            TLSv1.2    None                None
    16    AES256-GCM-SHA384            TLSv1.2    None                None
    17    AES128-SHA256                TLSv1.2    None                None
    18    AES256-SHA256                TLSv1.2    None                None
    19    AES128-SHA                   TLSv1.2    None                None
    20    AES256-SHA                   TLSv1.2    None                None
    21    DES-CBC3-SHA                 TLSv1.2    None                None
    
    Certificate: trusted, 2048 bits, sha256WithRSAEncryption signature
    TLS ticket lifetime hint: None
    NPN protocols: None
    OCSP stapling: not supported
    Cipher ordering: server
    Curves ordering: server - fallback: no
    Server supports secure renegotiation
    Server supported compression methods: NONE
    TLS Tolerance: yes
    
    Intolerance to:
     SSL 3.254           : absent
     TLS 1.0             : PRESENT
     TLS 1.1             : PRESENT
     TLS 1.2             : absent
     TLS 1.3             : absent
     TLS 1.4             : absent

서버를 스캔할 때 Cipherscan은 협상할 수 있는 가장 높은 TLS 버전인 특정 TLS 버전에 대한 지원을 알립니다. 대상 서버가 TLS 프로토콜을 올바르게 따르는 경우 상호 지원되는 가장 높은 버전으로 응답합니다. 이는 Cipherscan이 처음 공개된 것보다 낮을 수 있습니다. 서버가 해당 특정 버전을 사용하여 클라이언트와의 연결을 설정하는 동안 진행 중인 경우 해당 프로토콜 버전에 영향을 미치지 않는 것으로 간주되지 않습니다. 연결(지정된 버전 또는 더 낮은 버전)이 설정되지 않은 경우 해당 프로토콜 버전에 대한 과민성이 있는 것으로 간주됩니다. 예를 들면 다음과 같습니다.

Intolerance to:
 SSL 3.254           : absent
 TLS 1.0             : PRESENT
 TLS 1.1             : PRESENT
 TLS 1.2             : absent
 TLS 1.3             : absent
 TLS 1.4             : absent

이 출력에서 TLS 1.0TLS 1.1 의 내성이 PRESENT 로 보고됩니다. 즉, 연결을 설정할 수 없으며 해당 TLS 버전에 대한 지원을 알리는 동안 Cipherscan을 연결할 수 없었습니다. 따라서 이러한 프로토콜 버전(및 더 낮은) 버전의 프로토콜이 스캔된 서버에서 활성화되지 않았다는 결론을 내는 것이 좋습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.