마지막 수정 날짜 : 2018년 6월 7일
최근에 TLSv1 하고 TLSv1.1 을 아예 비활성화 했었는데, 조금 많은 사람들이 version too low 오류를 내뱉으면서 접속을 하지 못 했다.
– 서버 로그에 많은 데이터가 쌓였다. (…)
그래서 임시로 다시 TLSv1 하고 TLSv1.1 을 활성화 해둔 상태로 뒀다.
물론 nginx-build 파일은 그대로 TLSv1 과 TLSv1.1 은 기본값이 비활성화 상태다.
지원하려면 다음과 같이 쓰면 된다.
국내 사정상 TLSv1 과 TLSv1.1 비활성화는 좋은 선택이 아니다.
구 버전 브라우저의 사용률이 높은 국내에서는 TLSv1 과 TLSv1.1 을 활성화 하자.
따라서 nginx-build 파일도 기본값이 아래와 같이 설정되어 있다.
1 2 |
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers [TLS13+AESGCM+AES128|TLS13+AESGCM+AES256|TLS13+CHACHA20]:[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:EECDH+ECDSA+AES128+SHA:EECDH+ECDSA+AES256+SHA:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256:EECDH+aRSA+AES128+SHA:EECDH+aRSA+AES256+SHA:RSA+AES128+SHA:RSA+AES256+SHA:RSA+3DES; |
임시방편이지만, 어차피 최근 브라우저들은 Downgrade attack prevention 을 지원하기 때문에 일단은 다시 활성화 하기로 했다.