Language
한국어

[SSL] IIS 에 쉽게 적용하기

2017.08.18 14:09

lispro06 조회 수:37

sslstart 는 중국에 넘어가면서 공신력을 잃었다고 하여, let's encrypt를 신뢰하기로 하였다.


3개월 마다 갱신해야 하지만, 보안적으로 안전하고, 자동 적용 스크립트가 있으므로 IIS 에도 적용해 보았다.


naf.jpg바인딩 할 때, 호스트명과 Default web browser 기본 사용명을 변경한 이유로 그런지는 몰라도, 상기와 같은 에러가 나서 1시간 이상 찾아보았다.


재부팅이나 해보자 하여 시도했더니, 잘 된다.


https 적용 스크립트로 편리하게 적용 가능하니 let's enrypt를 사용해야겠다.


http://donghoon.me/5

https://github.com/Lone-Coder/letsencrypt-win-simple/releases


SSLv3는 최초에 REG에 등록되어 있지 않다.

sslv2reg.png


RC 해시 뿐만 아니라, SSLv3 를 비활성화 시키기 위한 REG를 등록하여 보안성을 강화할 수 있다.


rc_v3_disable.png


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000


ssllabs 에서 확인하면 RC4에 대해 적용 전후를 알 수 있다.


[적용 전]

rc1.jpg

[적용 후]

rc2.jpg


추가로 3des 와 DH도 비활성화 하면 A등급이 나온다.(요즘은 ISMS 심사 때 이런 것도 지적하고 다니는 듯 하여 적용해 봤다.)


[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Ciphers \ Triple DES 168]


; Diffie Hellman

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]

"Enabled"=dword:00000000