독까의 이야기

최근 일부 업체들에서 요청되는 사항이 중첩되는데, 내용을 살펴 보면 아래와 같다. 


KISA, 한국정보인증을 비롯한 각 기관에서 권장하는 SSL Protocol 은 TLS1.2 이며 TLS1.1/ TLS1.0 / SSL 2.0 / SSL3.0 은 보안에 취약하여 사용이 권장되지 않습니다.


따라서 구 버전의 프로토콜(SSL2.0/SSL3.0/TLS1.0/TLS1.1)을 은 반드시  SSL Protocol 설정을 TLS 1.2이상 버전으로 변경 하시기 바랍니다. 



웹서버 구동 중일 경우, 보안 인증서를 적용하였어도 프로토콜이 하위 버전일 경우 보안상 취약하니 TLS 1.2 이상만 사용 하도록 해라 이다. 


윈도우 서버의 경우 레지스트리에서 항목 추가하고 리부팅 하면 완료되는 간단한 작업이다. 


HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ ----여기 부분----



그런데 레지스트리 넣는 것도 귀찮다면, 아래에 소개되는 프로그램을 권장 한다. 


IISCrypto (https://www.nartac.com/)




홈페이지 들어가면 영어로 설명되어 있는데, 중학교만 나와도 이해될 만한 내용이다. 


비영리 프로그램이므로 다운로드해서 바로 서버에 적용하면 된다. 

IISCrypto 3.0.exe


실행하면 너무나 직관적으로 되어 있어서 금방 적용하고 끝난다. 


구버전에서는 없던 레지스트리 백업 기능이 추가 되어, 레지스트리 수정 후 원복도 가능하다. 


아주 작은 단점은 "IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater." 이 정도? 

뭐 필요하면 구버전으로 돌리거나 레지스트리 직접 수정하면 되니깐 대충 넘어가도 될 것 같다. 


CLI 버전도 있는데 불편하니깐 안쓰는게 낫다. CLI 로 할 거면 레지스트리 직접 수정하고 말지;;;