server-side/haproxy
HAProxy SSL dh(Diffie-Hellman) Parameters
C/H
2017. 7. 15. 17:40
- OpenSSL 취약점 정리, Logjam(로그잼)에서 Heartbleed까지
- Logjam: TLS 취약점 (CVE-2015-4000)
- Guide to Deploying Diffie-Hellman for TLS
- support.comono.com : Enabling Perfect Forward Secrecy
- CSR 생성 및 인증서 적용 방법 안내
- HAProxy SSL 인증서 설치/적용 가이드
- gabia SSL보안서버 인증서 : 설치방법
- KnowledgeBase SSL 설치/적용 이슈 주요 사례
- ssllabs.com : SSL Server Test
- SSL Checker SSL 인증서 설치 적용 테스트 확인
- "서버에 보안이 약한 임시 Diffie-Hellman 공개 키가 있습니다" 메시지
코모도는 support.comono.com : Enabling Perfect Forward Secrecy페이지에 아파치와 Nginx 에서 DH Parameters 를 설정하는 방법이 기술 되어 있다.
Cipher Suites
ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
DH Parameters
Append the DH parameter file generated using OpenSSL to your certificate (crt file). OpenSSL을 사용하여 생성 된 DH 매개 변수 파일을 인증서 (crt 파일)에 추가하십시오. Note: while there is configuration option named tune.ssl.default-dh-param to set the maximum size of primes used for DHE, placing custom parameters in your certificate file overrides it. 참고 : DHE에 사용되는 소수의 최대 크기를 설정하려면 tune.ssl.default-dh-param이라는 구성 옵션이 있지만 인증서 파일에 사용자 지정 매개 변수를 추가하면 이를 재정의합니다. Reload configuration 구성 다시로드
Comodo SSL
# dhpram.pem 생성 openssl dhparam -out dhparam.pem 2048
반응형