1. 소개

htps //w w.ぁbs. 이 m / sl st / 등을 이용하면, 암호화 스위트(Cipher Suite)의 취약성 등을 체크할 수 있다. CIS에서는 커맨드 라인에서 Cipher 스위트의 allowlist를 변경할 수 있으므로이 기사에서 시도했다.

2. 기본 테스트 결과

우선, CIS로 보호하고 있는 사이트에 대해서, https://www.ssllabs.com/ssltest/ 를 사용해 테스트해 보았다.



(TLS1.0이나 1.1은 논외로서) 상기의 결과로부터 알 수 있듯이, TLS1.2 이상을 사용하도록 구성하고 있어도, WEAK 취급되고 있는 암호화 스위트는 존재해, 후방 호환성 때문에 사용 가능한 상태입니다. 한편,

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_128_GCM_SHA256

근처를 사용할 수 있게 되어 있으면 최근의 환경이라면 문제 없을 것 같다는 것을 알 수 있다(상기 리포트를 대략적으로 밖에 확인하고 있지 않으므로, 프로덕션 이용시에는 보다 세세하게 체크해 주세요).

3. CIS 설정

IBM Cloud docs는 다음을 참조
h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = 시 s-c ぃ- p ぅ 긴-시 s-c ぃ & ぉ 카 ぇ = 엔 # up da-domain-setschin gs
h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = shi s-shi stls - p chion s & ぉ?

인스턴스 찾기

# ibmcloud cis instances
Retrieving service instances for service 'internet-svcs' ...
OK
Name                    ID                                                                                                                     Location   State    Service Name
CIS-Enterprise-Usage1   crn:v1:bluemix:public:internet-svcs:global:a/039dbe6794084c7cb514a276dd2345da:cf4d8b04-b49e-4bf0-a99d-9303bba2cd90::   global     active   internet-svcs

명령별로 ID를 지정하지 않아도되도록 기본 인스턴스를 설정하십시오.

# ibmcloud cis instance-set CIS-Enterprise-Usage1
Setting context service instance to 'CIS-Enterprise-Usage1' ...
OK
Context service instance set succeeded.

도메인 찾기

# ibmcloud cis domains
Listing domains for service instance 'CIS-Enterprise-Usage1' ...
OK
ID                                 Name                 Status   Paused
a4135402d38fff24e32ef13c82c1ab4a   cisibm.tk           active   false

암호화 제품군 설정 확인

# ibmcloud cis domain-settings a4135402d38fff24e32ef13c82c1ab4a -f "ciphers"
Getting 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a'...
OK

ID            ciphers
Editable      true
Modified On   N/A
Value

CIS 암호화 스위트에서 allowlist로 구성 가능한 값 는 다음과 같기 때문에,
ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-CHACHA20-POLY1305, ECDHE-ECDSA-AES128-SHA256, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA256, ECDHE-RSA-AES128-SHA, AES128-GCM-SHA256, AES128-SHA256, AES128-SHA, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES256-SHA, AES256-GCM-SHA384, AES256-SHA256, AES256-SHA, DES-CBC3-SHA, default 그래서,

다음 4개를 설정한다.

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

암호화 제품군 설정 변경

# ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305
Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305'...
OK

ID            ciphers
Editable      true
Modified On   N/A
Value
                 ECDHE-ECDSA-AES128-GCM-SHA256

                 ECDHE-ECDSA-CHACHA20-POLY1305

                 ECDHE-RSA-AES128-GCM-SHA256

                 ECDHE-RSA-CHACHA20-POLY1305

4. 재시험

CIS 및 https://www.ssllabs.com/ssltest/ 캐시를 지우고 다시 테스트합니다. 결과, 이용 가능한 암호화 스위트가 크게 줄었다!

5. 설정 취소(선택 사항)

# ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v default
Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'default'...
OK

ID            ciphers
Editable      true
Modified On   N/A
Value