물론 제 대학 성적은 아니고요.. 엑팔 SSL 성능 테스트 입니다.
피싱 공격도 한번도 받은 적이 없는 것으로 합격 ^^
안심하고 사용하세요 :-)
Mactopia님의 새글 알림을 받으실려면 구독
오오~ 청정사이트 인증받으셨네요~
축하할 일이네요~
그간 대장님의 노고가 공식적으로 인정받은거 같아 기쁩니다.
조금만 삽질하면 TLS 점수 높이는건 매우 쉽습니다
저런식으로 제대로 된 설정 몇개 구해서 실험해보면 점수 오릅니다
평균이 90점 넘기면 이후는 호환성을 희생해야 올라갑니다 (전에는 XP땜에 호환성 챙기면 A가 한계였었는데, 이젠 대세가 최저가 7인 시대가 되어서 문제 없이 A+뽑아짐) (랄까 애초에 IE 안 쓰면 XP라도 문제 없음)
이거 높인다음 눈 돌리는게 라이브러리랑 코드자체의 보안 취약점이랑 HTTP/HTTPS 혼합 컨텐츠, 외부 사이트 스크립트 의존성, 쿠키 설정등입니다 (제 서버는 이부분도 다 해결해서 스캐너 돌려도 눈에 띄는게 안 뜨고, 외부 폰트나 스크립트 일체 안 읽어오는 독립형 구동을 달성하고, 구버전 라이브러리도 다 없에버림)
여기에서 더 나가면 http header 등을 손 되는 마(?)의 영역으로 넘어가게 되는데, 삽질 수고가 상당해지고, 분명히 남이 잘 되는 설정이나 공식 메뉴얼대로 해도 안 되는 괴상함을 보여줍니다 (참고로 스샷에 B라 되어있는데, 망할 시놀이랑 몇몇 넘들을 따로 설정 쓰고, 나머지는 높인 설정 (inline계열 끄기)을 쓰면 A+뜨던데, 거기까지 해도 현실적으로 얻을 수 있는 보안 강도가 큰 차이 안 나기땜에 무시) (참고로 여기까지 하면 피싱은 커녕 삽입공격을 근본적으로 못하게 방지하는 수준이 되버립니다)
추신 : 학교다닐때 진심으로 공부해보니 올 A+ 뜬적 있긴합니다 (제목보고 이런 애기인줄 알았음)
제 삽질 일지에 가까운 블로그입니다
원래는 다른것도 올리고 헀었는데, 이젠 제가 하는 삽질중 어느정도 성과가 나온것중 일부(글 작성 시간 걸려서 귀찮아짐)를 정리해서 올리고 있습니다
지금 x86 돌려보니 A뜨네요 (인증서 4096비트는 키부터 다 새로 생성하셔야 하고, 인증서 생성할떄 쓰는 CSR에서 Must Staple을 설정하면 저부분 활성화되고, DNS CAA는 말 그대로 DNS도메인 설정에서 레코드를 추가해줘야 합니다)
일단 TLS1/1.1 꺼버리시길 추천합니다 (요즘 1.2 안 되는 브라우저(xp/vista내장 IE급) 쓰는것자체가 문제입니다) (사용중인 OS및 라이브러리의 버전이 허락된다면 TLS 1.3도 켜두시길 추천합니다)
이어서 Cipher쪽 보니 취약한 유물급이 좀 켜져 있네요 (하단의 TLS1.1/1은 어차피 위의 프로토콜에서 꺼버리면 해당 없으므로 설명 안 합니다)
빨간색으로 된 Forward Security가 안 되는것들은 반드시 꺼주시고, 파란색으로 표시된 FS인데도 Weak라 뜨는건 끌때 주의하셔야 합니다
꺼버려도 크룸, 파폭등은 정상 접속이 가능합니다만, 구형 안드로이드나 7~8.1의 IE11등의 좀 낡은 브라우저는 접속이 안 되게 됩니다 (제경우 해당되는 이용자가 너무 적어서 과감하게 다 꺼버림)
OCSP쪽은 처음에 설명한대로 인증서 생성시 지정해주면 켜집니다
HSTS는 https://*.x86.co.kr로 무언가 돌리는게 아닌 이상 (애초에 혼합 컨텐츠를 쓰는것자체가 보안상 문제되므로 피해야하지만, 꼭 써야한다면 그것부터 제거) 켜주세요 (이걸 켜면 한번이라도 접속한적이 있는 브라우져는 그걸 기억하고 있다가 다음부터 http라고 입력해도 브라우저가 알아서 강제로 https로 처리해줍니다) (좀 취약하거나 수상한 네트워크 사용시 가짜 사이트로 피싱하기 어렵게 막아줍니다)
HPKP쪽은 사장 추세되고, 절대 사용하지 않으시길 추천합니다 (인증서의 설정이나 사인이 교체되었을때 강제로 거부해주는 기능인데, 문젠 정상적인 이유로 인증서의 설정을 변경하고 재발급 받아도 똑같이 거부당해서 접속이 안 되게 됩니다)
마지막으로 서버 정보는 최대한 숨기는게 공격하기 어렵게 만드는 방법이므로 이런식으로 노출되지 않는게 좋습니다
이런식으로 컴파일시 소스를 수정해서 엉뚱한값을 넣거나, 삭제
흑은
이런식으로 웹서버 설정에서 헤드에 해당 정보가 포함되지 않도록 숨길 수 있습니다 (패키지로 깔아서 쓰고, 컴파일이 꺼져지면 이쪽을 써주세요)
추신 : 네이벯등의 주요 사이트 상태를 보시면 알 수 있듯이 A면 충분히 높은 점수입니다
우리 대장님도 멋지시지만~ 1 @1 3374591 님의 우리사이트를 쫘~악 보안 검증해 주시는 능력도 대단하십니다~! ^^
우리사이트 전문가분에게 컨설팅 서비스 받은 느낌이랄까요? 멋진 두분께 사이다 한병씩~! ^^
"님의 댓글"
이 댓글을 신고 하시겠습니까?
제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|
오랜만에 심야 영화 예매했습니다.(feat.베테랑2) +5 | 잠퉁이 | 24.09.2122:24 | 36 |
남자라면 알아두면 정말 유용한 차급의 세계 +1 | bluesaza | 24.09.2110:22 | 126 |
내가 돌아왔다. +1 | 광호 | 24.09.2201:12 | 107 |
Mactopia | 24.09.2223:42 | 13 | |
Mactopia | 24.09.2222:57 | 18 | |
광호 | 24.09.2201:12 | 107 | |
잠퉁이 | 24.09.2122:24 | 36 | |
bluesaza | 24.09.2110:22 | 126 | |
복스렌치 | 24.09.2014:59 | 59 | |
복스렌치 | 24.09.2014:49 | 44 | |
Mactopia | 24.09.1921:52 | 58 | |
Mactopia | 24.09.1919:43 | 91 | |
복스렌치 | 24.09.1912:18 | 47 | |
복스렌치 | 24.09.1912:16 | 40 | |
Mactopia | 24.09.1912:02 | 85 | |
Mactopia | 24.09.1911:40 | 76 | |
아이브경 | 24.09.1911:15 | 48 | |
아이브경 | 24.09.1911:15 | 64 | |
아이브경 | 24.09.1911:15 | 23 | |
아이브경 | 24.09.1911:15 | 61 | |
아이브경 | 24.09.1911:15 | 55 | |
아이브경 | 24.09.1911:15 | 39 | |
아이브경 | 24.09.1911:15 | 50 | |
아이브경 | 24.09.1911:15 | 37 | |
아이브경 | 24.09.1911:15 | 33 | |
Mactopia | 24.09.1821:13 | 63 | |
bluesaza | 24.09.1811:38 | 127 | |
복스렌치 | 24.09.1810:24 | 50 | |
소마엠 | 24.09.1803:48 | 166 | |
팜랩 | 24.09.1714:09 | 24 | |
달쇠 | 24.09.1708:22 | 32 | |
잠퉁이 | 24.09.1703:51 | 68 | |
잠퉁이 | 24.09.1613:02 | 80 | |
잠퉁이 | 24.09.1515:17 | 112 | |
해킨독립 | 24.09.1516:29 | 65 | |
복스렌치 | 24.09.1513:19 | 48 | |
도움환영 | 24.09.1502:52 | 175 | |
잠퉁이 | 24.09.1405:20 | 191 | |
잠퉁이 | 24.09.1321:15 | 127 | |
해킨독립 | 24.09.1320:42 | 81 | |
Mactopia | 24.09.1316:41 | 80 | |
도움환영 | 24.09.1311:03 | 113 | |
아이브경 | 24.09.1309:31 | 128 | |
아이브경 | 24.09.1309:31 | 92 | |
아이브경 | 24.09.1309:31 | 69 | |
Mactopia | 24.09.1218:21 | 116 | |
Mactopia | 24.09.1218:02 | 84 | |
잠퉁이 | 24.09.1216:32 | 106 | |
bluesaza | 24.09.1217:02 | 153 | |
Mactopia | 24.09.1211:54 | 112 | |
아이브경 | 24.09.1210:30 | 65 | |
아이브경 | 24.09.1210:30 | 86 | |
아이브경 | 24.09.1210:30 | 80 | |
아이브경 | 24.09.1210:30 | 45 | |
아이브경 | 24.09.1210:30 | 59 | |
Mactopia | 24.09.1117:40 | 136 | |
Mactopia | 24.09.1117:39 | 104 | |
박사 | 24.09.1109:37 | 136 | |
아이브경 | 24.09.1109:33 | 68 | |
아이브경 | 24.09.1109:33 | 165 | |
아이브경 | 24.09.1109:33 | 105 | |
아이브경 | 24.09.1109:33 | 65 | |
아이브경 | 24.09.1109:33 | 56 | |
아이브경 | 24.09.1109:33 | 46 | |
아이브경 | 24.09.1109:32 | 52 | |
Mactopia | 24.09.1019:12 | 113 | |
코끼리코 | 24.09.1017:54 | 108 | |
Mactopia | 24.09.0915:25 | 136 | |
Mactopia | 24.09.0915:24 | 52 | |
아이브경 | 24.09.0911:54 | 82 | |
아이브경 | 24.09.0911:54 | 128 | |
아이브경 | 24.09.0911:54 | 60 | |
아이브경 | 24.09.0911:54 | 65 | |
아이브경 | 24.09.0911:54 | 45 | |
아이브경 | 24.09.0911:54 | 59 | |
아이브경 | 24.09.0911:54 | 75 | |
아이브경 | 24.09.0911:54 | 60 | |
아이브경 | 24.09.0911:54 | 56 | |
아이브경 | 24.09.0911:54 | 39 | |
아이브경 | 24.09.0911:54 | 50 | |
Mactopia | 24.09.0910:55 | 64 | |
복스렌치 | 24.09.0813:20 | 53 | |
복스렌치 | 24.09.0813:10 | 59 |
제 삽질 일지에 가까운 블로그입니다
원래는 다른것도 올리고 헀었는데, 이젠 제가 하는 삽질중 어느정도 성과가 나온것중 일부(글 작성 시간 걸려서 귀찮아짐)를 정리해서 올리고 있습니다
지금 x86 돌려보니 A뜨네요 (인증서 4096비트는 키부터 다 새로 생성하셔야 하고, 인증서 생성할떄 쓰는 CSR에서 Must Staple을 설정하면 저부분 활성화되고, DNS CAA는 말 그대로 DNS도메인 설정에서 레코드를 추가해줘야 합니다)
일단 TLS1/1.1 꺼버리시길 추천합니다 (요즘 1.2 안 되는 브라우저(xp/vista내장 IE급) 쓰는것자체가 문제입니다) (사용중인 OS및 라이브러리의 버전이 허락된다면 TLS 1.3도 켜두시길 추천합니다)
이어서 Cipher쪽 보니 취약한 유물급이 좀 켜져 있네요 (하단의 TLS1.1/1은 어차피 위의 프로토콜에서 꺼버리면 해당 없으므로 설명 안 합니다)
빨간색으로 된 Forward Security가 안 되는것들은 반드시 꺼주시고, 파란색으로 표시된 FS인데도 Weak라 뜨는건 끌때 주의하셔야 합니다
꺼버려도 크룸, 파폭등은 정상 접속이 가능합니다만, 구형 안드로이드나 7~8.1의 IE11등의 좀 낡은 브라우저는 접속이 안 되게 됩니다 (제경우 해당되는 이용자가 너무 적어서 과감하게 다 꺼버림)
OCSP쪽은 처음에 설명한대로 인증서 생성시 지정해주면 켜집니다
HSTS는 https://*.x86.co.kr로 무언가 돌리는게 아닌 이상 (애초에 혼합 컨텐츠를 쓰는것자체가 보안상 문제되므로 피해야하지만, 꼭 써야한다면 그것부터 제거) 켜주세요 (이걸 켜면 한번이라도 접속한적이 있는 브라우져는 그걸 기억하고 있다가 다음부터 http라고 입력해도 브라우저가 알아서 강제로 https로 처리해줍니다) (좀 취약하거나 수상한 네트워크 사용시 가짜 사이트로 피싱하기 어렵게 막아줍니다)
HPKP쪽은 사장 추세되고, 절대 사용하지 않으시길 추천합니다 (인증서의 설정이나 사인이 교체되었을때 강제로 거부해주는 기능인데, 문젠 정상적인 이유로 인증서의 설정을 변경하고 재발급 받아도 똑같이 거부당해서 접속이 안 되게 됩니다)
마지막으로 서버 정보는 최대한 숨기는게 공격하기 어렵게 만드는 방법이므로 이런식으로 노출되지 않는게 좋습니다
https://1.egloos.com/1405918
이런식으로 컴파일시 소스를 수정해서 엉뚱한값을 넣거나, 삭제
흑은
https://1.egloos.com/1471036
이런식으로 웹서버 설정에서 헤드에 해당 정보가 포함되지 않도록 숨길 수 있습니다 (패키지로 깔아서 쓰고, 컴파일이 꺼져지면 이쪽을 써주세요)
추신 :
네이벯등의 주요 사이트 상태를 보시면 알 수 있듯이 A면 충분히 높은 점수입니다