RC4 관련 "ERR_SSL_VERSION_OR_CIPHER_MISMATCH", TLS 오류

기술자료, 설치/적용 이슈 주요 사례

최근 웹브라우져에서는 웹서버의 암호화 알고리즘중에 RC4 와 같은 취약점이 있는 저수준의 알고리즘으로 협상이 될때, 강제로 연결을 차단하고 있습니다. (예. 구글 크롬 48 버젼부터 작동하며, 그외 웹브라우져도 버젼/패치 업데이트시 적용 예정. 계속 강화될 예정)

 

--- 웹브라우져 오류 메시지 예 ---

[인터넷익스플로러]

"이 페이지를 표시할 수 없습니다."
[고급] 설정에서 TLS 1.0, TLS 1.1 및 TLS 1.2를 켠 다음 https://xxxxxx 에 다시 연결해 보세요. 이 오류가 계속되는 경우 이 사이트는 지원되지 않는 프로토콜 또는 안전하지 않은 RC4 (세부 정보를 위한 링크)와 같은 암호 그룹을 사용할 수도 있습니다. 사이트 관리자에게 문의하세요.

 

[크롬]

"사이트에 보안 연결할 수 없음
xxxxx 에서 지원되지 않는 프로토콜을 사용합니다.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
지원되지 않는 프로토콜
클라이언트와 서버가 일반적인 SSL 프로토콜 버전 또는 암호화 제품군을 지원하지 않습니다."

 

[파이어폭스]

"보안 연결 실패
xxxxxx 에 접속하는 중에 오류가 발생했습니다. 상대방과 안전하게 통신 할 수 없음: 일반 암호화 알고리듬이 없습니다. 오류 코드: SSL_ERROR_NO_CYPHER_OVERLAP
    받은 데이터의 내용 사실 검증을 할 수 없기 때문에 보려고 시도하신 페이지를 보여드릴 수 없습니다.
    웹 사이트 관리자에게 현재 문제를 알려 주십시오."

 

[기타]

SSPI를 호출하지 못했습니다. 내부 예외를 참조하십시오.
함수에 제공된 토큰이 올바르지 않습니다.
예기치 않은 메시지를 받았거나 메시지의 형식이 잘못되었습니다.
예기치 않은 패킷 형식으로 인해 핸드셰이크가 실패했습니다.
"이 사이트에서 지원되지 않는 프로토콜이나 암호화 제품군을 사용하므로 안전하게 연결할 수 없습니다. 더 이상 안전하지 않다고 간주되는 RC4를 서버에서 필요로 하기 때문인 경우가 많습니다."

참고문서 https://googleonlinesecurity.blogspot.kr/2015/12/an-update-on-sha-1-certificates-in.html 

 

* Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표하였으며,  Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기까지 SSL v2, v3 및 TLS 1.0, 1.1 기능을 완전히 삭제 완료 예정 입니다. 주요 벤더에서는 2019년내에 반영을 완료할것으로 예상됩니다. *

조치 방법은, 웹서버의 협상 가능한 암호화 알고리즘중 취약한 알고리즘 사용을 해제해야 합니다. 최근에는 TLS 1.2 가 최우선으로 권장되고 있습니다. 이에 적합한 알고리즘 모듈만 서버에서 작동하도록 추가 또는 허용 설정을 하는 것이 좋습니다.

(위와 관련하여 발생하는 오류를, SSL 인증서 자체가 잘못된 것으로 판단하는 서버운영자/웹개발자가 많습니다. 인증서와 직접적으로 관련이 없는,  서버 자체 암호화 모듈 버젼/설정 - 클라이언트 암호 수준 협상 문제입니다)

 

[Apache] : .conf 에서 SSLChiperSuite ALL:!RC4 추가
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
https://www.devside.net/wamp-server/disabling-sslv3-in-apache-by-setting-sslprotocol-be-aware-of-virtualhost-issue

[Tomcat] : .xml 에서  ciphers 노드에서 RC4 항목 삭제
https://blog.eveoh.nl/2014/02/tls-ssl-ciphers-pfs-tomcat/
http://serverfault.com/questions/637649/how-do-i-disable-sslv3-support-in-apache-tomcat

[IIS] : 문서 링크 참조
https://support.microsoft.com/en-us/kb/2868725 
https://samrueby.com/2015/06/08/how-to-disable-sslv3-and-rc4-ciphers-in-iis/ 
http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx 

 

그외 웹서버들도 각 개발사의 문서를 참고하여 조치를 취해야 합니다.

 

[참고자료]

▶ User Agent Capabilities https://www.ssllabs.com/ssltest/clients.html
▶ SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html

▶ TLS 1.0 1.1 1.2 1.3 Protocol Compatibility (Browsers, Desktop, Mobile, Servers, Libraries)
   https://support.globalsign.com/customer/portal/articles/2934392-tls-protocol-compatibility

 

컨텐츠의 무단 전제복사를 허용하지 않습니다 (일부 인용시 출처 표기 필수)
본 사이트내 노출된 이메일 주소의 수집/이용을 일체 허용하지 않습니다