SSLLABS (ssl 취약점 진단 Site)

SSLLABS - SSL 분석 결과 제공 사이트

 

이번에 설명해드릴 Tool은 SSLLABS라는 사이트 입니다.  사실 Tool이라고 하긴..좀 그렇지만 웹 사이트를 통해서 원하는 HOST에 대한 점검 결과를 확인 할 수가 있습니다.  (www.ssllabs.com)

 

 

사이트 접속 시 위와 같은 사이트로 접속을 하게됩니다.

 

 

 

1. Test your server : 해당 서버에 대한 SSL 취약점은 점검

2. Test your Browser : 클라이언트의 사용 브라우저에 대한 취약점을 점검

3. SSL Pulse : 타 웹 사이트에 대한 SSL 취약점 통계를 보여줌

4. Documentation : SSL/TLS에 대한 참고 자료를 보여줌

 

 

 

SSL test test에서 "네이버"를 검색해 보았습니다.

검색을 하면 진단 퍼센트가 보여지고, 생각보단 시간이 조금 걸려요.

 

진단결과에 대해서는 아래 그림으로 설명합니다.

 

 

진단 결과 Overall Rating은 A+ 가 나왔습니다. 꽤높은 점수인데 , 세부사항을 살펴보겠습니다.

 

 

상세 결과를 살펴보면, "Protocol"에서는 지원하는 TLS, SSL 버전을 볼수 있습니다.

내용상으로 보았을때 TLS 1.0 ~ 1.2까지 지원, SSL 3.0~2.0은 지원하지 않는다고 되었습니다.

그 바로아래 "Cipher Suites"는 암호화 알고리즘으로, "WEAK" "해당 그림에서는 보이지 않지만 "InSecure"라고 뜬 알고리즘이 취약한 것으로 확인하면됩니다.  보통 RC4계열, MD5, SHA1 등 취약한 알고리즘들입니다.

 

#개인 견해 : 사실 보안상 TLS 1.2만 지원을 해야 하는데, 브라우저마다 지원하는 버전이 다르기에 범용적으로 접속을 시도하는 "네이버"는 폭 넓게 허용을 해놓았을것으로 예상됨..  최근에 ISMS 결과에서 1.0 사용에 대한 지적을 내놓았고 1.1 이상을 사용하라는 권고를 받은 기관이있음

 

해당결과는 각 브라우저 및 OS에 대한 Handshake를 맺어본 결과입니다. 어떤 TLS 버전을 사용하여 연결했는지를 확인 할 수있고, 어떤 암호화알고리즘을 이용해 키교환이 이루어 졌는지 확인 할 수있습니다.

 

 

 

 

해당 부분은 종합적인 결과 페이지로, 다양한 취약인자에 대한 내용을 확인 할 수 있다.

해당 그림으로는 취약부분이없......

 

 

#개인 견해 : 요즘 취약점 진단 항목 중 취약한 HTTPS 프로토콜이라든가, 취약한 HTTPS 암호 알고리즘을 잡는 항목이 추가되는 경향임..

그래서 해당 사이트를 통해서 진단을 하게되는데.. 해당 진단 시 서버에서 조치했으나 여전히 취약로 보여지는 경우가 있어 다양한 방향으로 확인결과 서버 앞단에 보안장비들에서 걸리는 경우도 있다... 만약 담당자라면 해당 경우도 확실하게 확인이 필요하다.