[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 암호 스펙

SSL 연결이 설정되면 클라이언트(웹 브라우저)와 웹 서버가 연결에 사용할 암호를 조정합니다. 웹 서버에는 정렬된 암호 목록이 있으며 목록에서 클라이언트가 지원하는 첫 번째 암호를 선택합니다.

소개

현재 SSL 암호 목록을 확인하십시오.
주의: 이 암호 목록은 산업 표준에 대한 업데이트 결과로 변경될 수 있습니다. load mod_ibm_ssl을 로드하도록 구성하고 bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS를 실행하여 IBM® HTTP Server의 특정 버전에서 지원되는 암호의 목록을 판별할 수 있습니다.

SSLFIPSEnable 지시문은 FIPS(Federal Information Processing Standards)를 사용 가능하게 합니다. SSLFIPSEnable 지시문을 사용하는 경우 사용 가능한 암호 세트는 표시된 대로 제한되며 SSLv2와 SSLv3을 사용하지 않습니다.

문제점 방지 문제점 방지:
  • 이름에 "ECDHE"가 포함된 암호는 8.5.0.2/8.0.0.6 및 그 이상에서만 사용할 수 있습니다.
  • 이름에 "ECDHE"가 포함된 암호는 명시적으로 "long name"을 통해서만 사용할 수 있고 또 사용해야 합니다.
  • 이름에 "ECDHE_RSA"가 포함된 암호는 표준 RSA 인증서를 사용하며 이전 RSA 암호 및 클라이언트와 공존할 수 있습니다.
  • 이름에 "ECDHE_ECDSA"가 포함된 암호에는 ECC(Elliptic Curve Cryptography) 인증서/키를 작성해야 합니다(분산 플랫폼에서 실행 중인 경우 gskcapicmd, z/OS®에서 실행 중인 경우 gskkyman).
  • [z/OS]z/OS에서 "ECDHE" 암호를 사용하려면 여러 기준에 부합해야 합니다.
    • SSLProtocolEnable 지시문을 사용하여 명시적으로 TLSv1.2를 사용할 수 있도록 해야 합니다.
    • OA39422가 있는 z/OS V1R13 또는 그 이상인 경우에는 z/OS에 TLSv1.2를 사용하여야 합니다.
    • ICSF에서 ECC 또는 AES-GCM 암호를 사용할 수 있어야 합니다. 자세한 정보는 in the z/OS Cryptographic Services System SSL Programming에 있는 "RACF® CSFSERV 자원 요구사항"을 참조하십시오.
gotcha

SSL 및 TLS 암호

주의: 다음 SSL 및 TLS 암호 값에 유의하십시오.
  • - = 프로토콜에 유효하지 않은 암호
  • d = 기본적으로 암호를 사용합니다.
  • y = 암호가 유효하지만 기본적으로 사용하지 않습니다.
주의: TLS v1.1 및 v1.2는 두 조건을 충족하지 않으면 z/OS 운영 체제에서 사용할 수 없습니다.
  • OA39422가 있는 z/OS V1R13 이상이 필요합니다.
  • IBM HTTP Server 구성을 업데이트하여 SSLProtocolEnable TLSv1.1 TLSv1.2를 지정해야 합니다.
전이 사용자용 전이 사용자용: IBM HTTP Server 버전 8.0은 보안을 강화하기 위해 기본적으로 약한 SSL 암호, SSL 내보내기 암호, SSL 버전 2 프로토콜을 사용하지 않습니다. SSL 버전 2, 약한 암호, 내보내기 암호는 일반적으로 인터넷 상의 프로덕션 SSL 워크로드에는 적합하지 않으며 보안 스캐너에 의해 플래그 지정됩니다. 암호를 사용하려면 SSLCipherSpec 지시문을 사용하십시오.trns
표 1. 중간 및 높은 강도 TLS 암호
축약 이름 긴 이름 키 크기(비트) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - Y Y Y Y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - Y Y Y -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - Y d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - Y d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_ SHA 168 Y - Y d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 Y - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 Y - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 Y - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
주의: * SSLv3이 기본적으로 사용 안함으로 설정되어 있음을 나타냅니다.
참고: ECDHE 암호는 z/OS 플랫폼(d*로 표시)에서를 제외하고 TLSv1.2에 기본적으로 사용 가능합니다.

기본적으로 사용하지 않는 취약한 암호:

표 2. 기타 TLS 암호
축약 이름 긴 이름 키 크기(비트) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_ MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_ CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_ DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_ RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
파일 이름:rihs_ciphspec.html