IBM Cloud Internet Service(CIS): TLS 암호화 제품군 제한
1. 소개
htps //w w.ぁbs. 이 m / sl st / 등을 이용하면, 암호화 스위트(Cipher Suite)의 취약성 등을 체크할 수 있다. CIS에서는 커맨드 라인에서 Cipher 스위트의 allowlist를 변경할 수 있으므로이 기사에서 시도했다.
2. 기본 테스트 결과
우선, CIS로 보호하고 있는 사이트에 대해서, https://www.ssllabs.com/ssltest/
를 사용해 테스트해 보았다.
(TLS1.0이나 1.1은 논외로서) 상기의 결과로부터 알 수 있듯이, TLS1.2 이상을 사용하도록 구성하고 있어도, WEAK
취급되고 있는 암호화 스위트는 존재해, 후방 호환성 때문에 사용 가능한 상태입니다. 한편,
우선, CIS로 보호하고 있는 사이트에 대해서,
https://www.ssllabs.com/ssltest/
를 사용해 테스트해 보았다.(TLS1.0이나 1.1은 논외로서) 상기의 결과로부터 알 수 있듯이, TLS1.2 이상을 사용하도록 구성하고 있어도,
WEAK
취급되고 있는 암호화 스위트는 존재해, 후방 호환성 때문에 사용 가능한 상태입니다. 한편,근처를 사용할 수 있게 되어 있으면 최근의 환경이라면 문제 없을 것 같다는 것을 알 수 있다(상기 리포트를 대략적으로 밖에 확인하고 있지 않으므로, 프로덕션 이용시에는 보다 세세하게 체크해 주세요).
3. CIS 설정
IBM Cloud docs는 다음을 참조
h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = 시 s-c ぃ- p ぅ 긴-시 s-c ぃ & ぉ 카 ぇ = 엔 # up da-domain-setschin gs
h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = shi s-shi stls - p chion s & ぉ?
인스턴스 찾기# ibmcloud cis instances
Retrieving service instances for service 'internet-svcs' ...
OK
Name ID Location State Service Name
CIS-Enterprise-Usage1 crn:v1:bluemix:public:internet-svcs:global:a/039dbe6794084c7cb514a276dd2345da:cf4d8b04-b49e-4bf0-a99d-9303bba2cd90:: global active internet-svcs
명령별로 ID를 지정하지 않아도되도록 기본 인스턴스를 설정하십시오.# ibmcloud cis instance-set CIS-Enterprise-Usage1
Setting context service instance to 'CIS-Enterprise-Usage1' ...
OK
Context service instance set succeeded.
도메인 찾기# ibmcloud cis domains
Listing domains for service instance 'CIS-Enterprise-Usage1' ...
OK
ID Name Status Paused
a4135402d38fff24e32ef13c82c1ab4a cisibm.tk active false
암호화 제품군 설정 확인# ibmcloud cis domain-settings a4135402d38fff24e32ef13c82c1ab4a -f "ciphers"
Getting 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a'...
OK
ID ciphers
Editable true
Modified On N/A
Value
CIS 암호화 스위트에서 allowlist로 구성 가능한 값 는 다음과 같기 때문에,
ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-CHACHA20-POLY1305, ECDHE-ECDSA-AES128-SHA256, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA256, ECDHE-RSA-AES128-SHA, AES128-GCM-SHA256, AES128-SHA256, AES128-SHA, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES256-SHA, AES256-GCM-SHA384, AES256-SHA256, AES256-SHA, DES-CBC3-SHA, default
그래서,
다음 4개를 설정한다.
# ibmcloud cis instances
Retrieving service instances for service 'internet-svcs' ...
OK
Name ID Location State Service Name
CIS-Enterprise-Usage1 crn:v1:bluemix:public:internet-svcs:global:a/039dbe6794084c7cb514a276dd2345da:cf4d8b04-b49e-4bf0-a99d-9303bba2cd90:: global active internet-svcs
# ibmcloud cis instance-set CIS-Enterprise-Usage1
Setting context service instance to 'CIS-Enterprise-Usage1' ...
OK
Context service instance set succeeded.
# ibmcloud cis domains
Listing domains for service instance 'CIS-Enterprise-Usage1' ...
OK
ID Name Status Paused
a4135402d38fff24e32ef13c82c1ab4a cisibm.tk active false
# ibmcloud cis domain-settings a4135402d38fff24e32ef13c82c1ab4a -f "ciphers"
Getting 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a'...
OK
ID ciphers
Editable true
Modified On N/A
Value
암호화 제품군 설정 변경
# ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305
Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305'...
OK
ID ciphers
Editable true
Modified On N/A
Value
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-CHACHA20-POLY1305
4. 재시험
CIS 및 https://www.ssllabs.com/ssltest/
캐시를 지우고 다시 테스트합니다. 결과, 이용 가능한 암호화 스위트가 크게 줄었다!
5. 설정 취소(선택 사항)
# ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v default
Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'default'...
OK
ID ciphers
Editable true
Modified On N/A
Value
Reference
이 문제에 관하여(IBM Cloud Internet Service(CIS): TLS 암호화 제품군 제한), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/82518126f659f58deee5
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
# ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v default
Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'default'...
OK
ID ciphers
Editable true
Modified On N/A
Value
Reference
이 문제에 관하여(IBM Cloud Internet Service(CIS): TLS 암호화 제품군 제한), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/testnin2/items/82518126f659f58deee5텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)