[모니터랩] SSL/TLS 설정

 

 

보호 대상 웹서버 -> 특정 도메인에 대한 설정

 

 

부가 설정 -> SSL 인증서에 적용되는 공통 설정 (해당 인증서 도메인에 대한 SSL/TLS 기본 정책)

 

 

SSLv3는 SNI(Server Name Indication) 기능을 지원하지 않습니다.

즉, 클라이언트가 최초 SSL/TLS 핸드셰이크를 수행할 때 특정 도메인을 지정할 수 없고 서버(WAF)는 개별 도메인 설정을 고려하지 못한 채 기본 값(부가설정) 설정대로 응답하게 됩니다.

 

* 부가 설정 변경 전 

 

 

 

* 부가 설정 변경 후 

부가 설정에서 미허용 SSL 버전을 협상 거부로 변경해야 SSLV3 가 정상적으로 차단됩니다. 

 

 

 

 

---

1. SSLv3란?

SSLv3(Secure Sockets Layer 3.0)는 현재는 보안 취약점(CVE-2014-3566, POODLE Attack)으로 인해 더 이상 안전하지 않습니다.

 

✅ POODLE 공격(Padding Oracle On Downgraded Legacy Encryption): SSLv3를 악용하여 암호화된 데이터의 내용을 추출 가능
✅ 암호화 방식 취약: 최신 TLS(1.2/1.3)에 비해 보안성이 낮고, 강력한 암호화 알고리즘 미지원
✅ MITM(중간자 공격) 위험: 공격자가 SSLv3로 다운그레이드(Protocol Downgrade)를 유도하여 보안성을 약화시킬 가능성

SSLv3를 비활성화하는 것은 보안상 필수적인 조치입니다.

---

2. SNI (Server Name Indication)란?

SNI(Server Name Indication)는 클라이언트가 핸드셰이크 초기에 "어떤 도메인에 접속하려는지" 명시적으로 전달하는 확장 기능입니다.

이를 통해 하나의 IP 주소에서 여러 개의 도메인을 운영할 수 있도록 지원합니다.

📌 하지만 중요한 점은, SNI 정보가 없는 클라이언트는 도메인 정보를 제공하지 않기 때문에 기본적으로 WAF의 전역 SSL 설정을 따를 수밖에 없습니다.

 

즉, SSL/TLS 협상 초기에는 개별 도메인 설정이 적용되지 않으며 부가설정에서 SSLv3를 비활성화해야만 모든 클라이언트가 영향을 받습니다.

---