꼬반 Blog

꾸준히 만들고 있는 www.jaram.kr 쇼핑몰 사이트 (언제쯤 오픈할 수 있을련지 ㅠㅠ 눙물)

SSL 인증서를 도입하였다. 아무래도 회원가입이나 로그인, 카트 같은 개인정보가 필요한 쇼핑몰이다 보니

보안을 위해서 HTTPS 적용을 염두에 두고는 있었는데.. 발급비용이나 갱신비용때문에 선듯 도입을 하지 않았다.

(근데 대부분의 쇼핑몰에 SSL 적용이 안되어 있더라?!? 시행법인데?? 뭐지?)

근데 Let's Encrypt 에 대해서 우연히 알게되었다.

아니 이것은 오오!?!?

SSL의 확산을 위해서 여러 재단에서 만든 SSL 인증 기관! 이걸 사용하면 누구나 Free 로 SSL 을 발급 받을 수 있다.

다만 갱신 기간이 짧다. 3개월.. 하지만 이게 어딘가!

공식 사이트 : https://letsencrypt.org/

공식 사이트 : https://certbot.eff.org/

참고 사이트 : https://blog.outsider.ne.kr/1178

를 참고하여 SSL 인증서를 발급 받고 운영중인 NGINX 에 적용!

함께 HTTP2 프로토콜도 적용 완료! 

그리고 기본 HTTP 접속은 모두 HTTPS 로 연결되도록 해두었다.

추가로 내부에서 사용하는 nodejs 의 RESTful 주소를 정리했다. www.jaram.kr:포트번호/api_method 이런식으로

사용했는데 아무래도 보기에.. 좀 그래서 nginx 에서 /api/ location으로 proxy_pass 설정을 해주었다.

그리고 내부에 들어가있는 소스들을 모두 https://www.jaram/api/method 형식으로 변경 후 테스트도 완료!

오늘 작업 끝!

https://www.jaram.kr

회사에서 서비스하고 있는 웹 서비스에 대해서 새로 발급받은 SHA-2 기반의 SSL 인증서를 적용하는데 장애가 발생하였다.

확인하여 보니 기존 SHA-1 기반의 SSL 인증서도 마찬가지.

https:// 443 포트로 접속하여 보면

브라우저에서 아래와 비슷한 메세지가 나오면서 접속이 되지 않는다.

diffie-hellman 알고리즘이 발견되어 접근할 수 없습니다.

검색을 하여 보니 다음과 같은 해결방법을 찾을 수 있었다.

참조 : http://stackoverflow.com/questions/30931692/diffie-hellman-public-key-error-with-tomcat-7

즉 자바 1.6 ~ 1.7 버전에서 발생하는 문제라는 것. 이를 조치하기 위해서는 아래와 같은 옵션을 connector 안에 넣어준다.

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"

그러면 정상적으로 웹 페이지가 노출됨을 확인할 수 있다.