SSL Cipher Suites Issue
Windows RT 8.1, Windows 8.1 and Windows Server 2012 R2 Update April, 2004
해당 업데이트에서 신규 Cipher 와 보안상 문제 취급되던 TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_RC4_128_SHA
이슈가 발생하고 있네요. 문서상에서는 위 2개의 Cipher를 지원하는 것으로 기록되어 있지만 업데이트된 서버나
클라이언트 OS의 특성에 따라 해당 2개의 Cipher 가 SSL Cipher Order List에서 사라지는 현상이 있습니다.
또한 Windows 7, Windows Server 2008 부터 Cipher top order 에 있던 AES가 클라이언트 오더링에서 하위로 밀리는
현상도 발생하고 있어서 TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA 해당 우선 순위가
밀려서 다른 Cipher 로 통신하는 현상도 발생되고 있는데.. 같은 OS를 가진 여러서버를 업데이트 하였을 경우
간혹 위 문제를 발생시키는 서버가 발견되고 있습니다.
아래는 해당 업데이트로 새로 추가된 Cipher들의 목록
Cipher suite | FIPS mode enabled | Protocols | Exchange | Encryption | Hash |
|---|---|---|---|---|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Yes | TLS 1.2 | DH | AES | SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Yes | TLS 1.2 | DH | AES | SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Yes | TLS 1.2 | RSA | AES | SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Yes | TLS 1.2 | RSA | AES | SHA256 |
아래는 해당 업데이트 이후 새로 정렬된 기본 오더 리스트
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_NULL_SHA SSL_CK_RC4_128_WITH_MD5 SSL_CK_DES_192_EDE3_CBC_WITH_MD5
현재 위의 분홍색2개로 통신하던 어플리케이션들은 분명 오더 리스트에 있음에도 불구하고 통신이 안되는
폭탄을 맞는 일이 발생하고 있습니다..
저 같은 경우는 그런 경우는 아닙니다만, 젤 위의 파랑생 Cipher를 지원하기 위한 OpenSSL 업데이트 작업
그에 따른 프로그램 수정, 테스트와 배포.. 여러가지 폭탄을 맞은듯 ㅠㅠ;;;
요건 MS기술 링크: http://support.microsoft.com/kb/2929781