개요
TLS 연결이 실패하면 Cato는 TLS 프로토콜 알림, X.509 인증서 검증 오류, 내부 SSL 처리 오류를 관찰할 수 있습니다. 이 가이드는 Cato 관리 애플리케이션(CMA) 이벤트에서 표시되는 필드에 중점을 두고 TLS 오류가 Cato 인증서나 TLS 검사로 인한 것이 아님을 가정하지 않고 해석 방법을 설명합니다.
중요: CMA에 표시되는 X.509 인증서 검증 오류는 대상 서버 인증서 검증과 관련이 있습니다. 이들은 Cato 인증서와 관련된 문제를 나타내지 않습니다. TLS 오류 설명 필드의 TLS 프로토콜 알림은 클라이언트 측 또는 서버 측에서 생성될 수 있습니다.
이 오류 값은 업계 표준입니다. 이들은 Cato가 TLS 관련 이벤트 검증에 사용하는 TLS 프로토콜에 의해 파생됩니다. 그 결과, 오류 이름과 설명은 표준 OpenSSL 동작을 반영하며 환경에서 관찰된 문제와 항상 정확히 일치하지 않을 수 있으며 언제든지 변경될 수 있습니다.
CMA에서 어떤 TLS 필드가 보이나요?
| CMA 필드 | 대표하는 것 | 사용 방법 |
| TLS 오류 설명 | TLS 교환 동안 관찰된 TLS 프로토콜 알림, 예를 들면 알 수 없는 ca, 인증서 알 수 없음, 핸드셰이크 실패 또는 잘못된 기록 mac. | TLS 세션이 실패한 프로토콜 수준의 이유를 이해하기 위한 주요 필드로 사용하십시오. 알림은 어느 엔드포인트에서도 발생할 수 있습니다. |
| TLS 인증서 오류 | 대상 서버 인증서를 검증하는 동안 감지 된 X.509 인증서 검증 문제, 예를 들면 인증서가 만료되었거나 호스트 이름 불일치 또는 인증서 체인의 자체 서명 인증서. | 대상 서버 인증서 또는 인증서 체인 문제를 식별하기 위해 이것을 사용하십시오. 이러한 오류는 일반적으로 고객 엔드포인트 및 Cato 인증서 구성 외부에 있습니다. |
| TLS 오류 유형 | 프로토콜에서 보고된 TLS 알림의 심각도를 나타냅니다, 예를 들면 경고나 치명적. | 이것을 컨텍스트로만 사용하십시오. 치명적인 알림은 세션을 종료합니다. 경고 알림은 엔드포인트 행동에 따라 세션을 종료할 수도 있고 안 할 수도 있습니다. |
클라이언트 측 및 서버 측 알림 해석 방법
TLS 알림은 핸드셰이크 또는 기록 교환 동안 하나의 엔드포인트가 보고한 내용을 설명합니다. 경고 측이 중요하다:
- 클라이언트 측 경고: 클라이언트가 수신한 것을 거부하거나 핸드셰이크가 계속될 수 없다고 판단했습니다. TLS 검사 시나리오에서는, 클라이언트가 검사 중 제시된 인증서를 거부하거나 인증서 매개변수를 거부하거나 프로토콜 또는 암호 불일치로 실패할 수 있습니다.
- 서버 측 경고: 대상 서버가 핸드셰이크를 거부하거나 클라이언트 측 행동, 프로토콜 매개변수, 암호 협상 또는 기록 처리의 문제를 보고했습니다.
- CMA는 경고 설명을 표시하지만 경고 측은 표시되지 않습니다. 어느 엔드포인트가 경고를 보냈는지 확인하려면 진단으로 지원이 필요할 수 있습니다.
권장 문제 해결 접근법
- 프로토콜 알림에 대해 TLS 오류 설명 필드를 시작 점으로 사용하고 대상 서버 인증서 검증 문제에 대해 TLS 인증서 오류 필드를 시작 점으로 사용하십시오.
- 인증서 관련 TLS 알림이 항상 Cato Root CA가 누락된 것을 의미한다고 가정하지 마십시오. 먼저 해당 경고가 TLS 프로토콜 경고인지 X.509 검증 오류인지를 확인하십시오.
- 애플리케이션 및 보안 정책에 적합한 경우에만 대상을 우회하여 TLS 검사를 비활성화한 상태로 행동을 비교하십시오.
- 지속적인 문제가 있는 경우, 대상 인증서 체인, 호스트명/SAN, 지원되는 TLS 버전 및 암호 모음을 검증하십시오. 패킷 캡처는 경고를 보낸 측을 확인하는 데 도움이 될 수 있습니다.
고급 문제 해결을 위해 TLS 검사 문제 해결을 참조하십시오.
일반적인 오류 및 의미
다음 표는 대부분의 일반적인 TLS 오류 (예시: 이벤트 로그의 "TLS 오류 설명" 필드에 표시됨)를 설명하고 있으며, 그들의 전형적인 원인과 일반적인 수정 절차도 포함합니다.
인증서 및 신뢰 관련 TLS 알림
| TLS 오류 설명 | 전형적인 경고 측 | 의미 | 일반적인 원인 및 수정 |
| 알 수 없는 ca | 클라이언트 측 | 인증서 발급자는 피어에 의해 신뢰받지 않습니다. | 클라이언트가 제시된 인증서를 발급한 CA를 신뢰하지 않을 수 있습니다. TLS 검사 시나리오에서 Cato Root CA가 엔드포인트에 설치되고 신뢰되는지 확인하십시오. 누락된 중간 단계를 확인하거나 사설 CA 신뢰 요구사항을 확인하십시오. |
| 인증서 알 수 없음 | 클라이언트 측 | 인증서가 일반적 또는 명시되지 않은 이유로 거부되었습니다. | 이것은 종종 광범위한 클라이언트 거부입니다. 인증서 유효성, 키 사용, 체인 완전성, 엔드포인트 신뢰 저장소 및 애플리케이션별 인증서 검증 행동을 확인하십시오. 필요한 경우 TLS 검사를 비활성화한 상태로 비교하십시오. |
| 잘못된 인증서 | 클라이언트 측 | 인증서가 검증 검사에 실패했습니다. | 가능한 이유는 키 사용 오류, 체인 문제, 호스트명 불일치, 인증서 핀닝 또는 애플리케이션에서 검사된 인증서를 거부하는 것이 포함됩니다. 검증/체인 문제를 해결하거나 검사를 받을 수 없는 애플리케이션에 대해 TLS 검사를 우회하십시오. |
| 지원되지 않는 인증서 | 클라이언트 측, 희귀함 | 인증서는 지원되지 않는 매개변수 또는 알고리즘을 사용합니다. | 약한 또는 권장에서 제외된 알고리즘과 키를 현대적이고 지원되는 표준으로 교체하십시오. |
X.509 대상 서버 인증서 검증 오류
| TLS 인증서 오류 | 전형적인 소스 | 의미 | 일반적인 원인 및 수정 |
| 인증서가 만료되었습니다 | 서버 인증서 | 대상 서버 인증서가 유효 기간을 초과했습니다. | 웹사이트나 서비스 소유자는 인증서를 갱신하고 올바른 인증서 회전을 보장해야 합니다. |
| 지역 발급자 인증서를 획득할 수 없음 | 서버 인증서 체인 | 서버 인증서를 검증하는 데 필요한 발급자 또는 중간 인증서가 누락되었거나 신뢰할 수 없습니다. | 대상 서버는 전체 인증서 체인을 제공해야 합니다. 이것은 일반적으로 대상 서비스 소유자에 의해 해결됩니다. |
| IP 주소 불일치 | 서버 인증서 신원 | 인증서는 연결에 사용된 IP 주소와 일치하지 않습니다. | FQDN을 사용하여 서비스에 액세스하거나 적절할 때 IP 주소를 포함하도록 서버 인증서 SAN을 업데이트합니다. |
| 호스트명 불일치 | 서버 인증서 신원 | 인증서는 요청된 호스트명과 일치하지 않습니다. | 서버 인증서 SAN/CN을 수정하거나 사용자가 인증서에 의해 커버된 호스트명을 사용하여 서비스에 액세스하도록 보장하십시오. |
| 자체 서명 인증서 | 서버 인증서 신뢰 | 대상은 기본적으로 신뢰되지 않는 자체 서명 인증서를 제공합니다. | 공적으로 신뢰되거나 기업적으로 신뢰되는 CA 인증서를 사용하거나 적절할 때 인증서를 명시적으로 신뢰하십시오. |
| 인증서 체인에서 자체 서명 인증서 | 서버 인증서 체인 | 자체 서명 인증서가 서버 인증서 체인에 나타납니다. | 적절히 신뢰되는 CA 체인으로 체인을 교체하거나 검증 당사자가 관련 CA를 신뢰하도록 보장하십시오. |
프로토콜, 버전 및 암호 알림
| TLS 오류 설명 | 전형적인 경고 측 | 의미 | 일반적인 원인 및 수정 |
| 프로토콜 버전 | 클라이언트 측 | 엔드포인트가 지원되는 TLS 버전에 대해 협의하지 못했습니다. | 레거시 클라이언트나 서버를 업그레이드하고 지원되는 버전에 겹침을 보장하십시오. 바람직하게는 TLS 1.2 또는 TLS 1.3을 사용합니다. |
| 핸드셰이크 실패 | 클라이언트 측 | 핸드셰이크를 완료할 수 없습니다. 종종 상호 수용 가능한 매개변수가 없기 때문입니다. | 지원되는 TLS 버전, 암호 모음, 확장, SNI 행동 및 인증서 요구사항을 확인하십시오. 클라이언트와 서버 TLS 구성을 맞추십시오. |
| 불법 매개변수 | 대부분 클라이언트 측; 서버 측도 가능합니다 | 하나의 엔드포인트가 TLS 핸드셰이크 매개변수를 유효하지 않거나 예상치 못한 것으로 거부했습니다. | 호환되지 않는 TLS 확장, 지원되지 않는 그룹/서명 알고리즘 또는 비표준 클라이언트/서버 구현을 체크하십시오. 지속적인 경우 패킷 캡처를 사용하십시오. |
| 불충분한 보안 | 서버 측, 드물게 발생 | 하나의 엔드포인트가 협상된 매개변수를 너무 약하게 간주했습니다. | 낡은 프로토콜과 약한 암호를 비활성화하십시오. 관련된 엔드포인트에서 최신 암호화 스위트와 보안 정책을 구성하십시오. |
레코드 층과 다양한 TLS 알림
| TLS 오류 설명 | 일반적인 알림 측면 | 의미 | 일반적인 원인과 해결 방안 |
| 잘못된 기록 MAC | 클라이언트 측 | TLS 레코드 무결성 검사에 실패했습니다. | 손상된 트래픽, 패킷 손실, 미들박스 간섭 또는 중복 검사/프록시 장치로 인해 발생할 수 있습니다. 경로 일관성을 테스트하고 다른 차단 장치 없이 비교하십시오. |
| 복호화 오류 | 서버 측, 드물게 발생 | TLS 레코드 또는 핸드셰이크 값을 복호화하거나 확인할 수 없습니다. | 프로토콜 불일치, 미들박스 간섭 또는 구현 문제를 체크하십시오. 트래픽 경로를 단순화하고 패킷 캡처로 검증하십시오. |
| 예상 밖의 메시지 | 클라이언트 측 | TLS 메시지가 순서대로 수신되지 않았습니다. | 프로토콜 비일관성, 호환되지 않거나 버그 있는 엔드포인트 동작을 나타냅니다. 영향을 받은 클라이언트/서버를 업그레이드하고 지속되면 패킷 캡처로 검증하십시오. |
| 내부 오류 | 클라이언트 측 | TLS 스택 내부에서 일반적인 실패가 발생했습니다. | 일시적 또는 구현 관련일 수 있습니다. 재현 가능할 경우 이벤트 세부 정보, 엔드포인트 로그 및 지원 분석을 위한 패킷 캡처를 수집하십시오. |
| 알 수 없음 | 서버 측 | 일반적이거나 매핑되지 않은 TLS 알림이 관찰되었습니다. | 광범위한 실패 지표로 처리하십시오. 가능한 경우 목적지 동작, 패킷 캡처 및 서버 측 로그와 연관시키십시오. |
| 디코딩 오류 | 서버 측 | TLS 메시지를 올바르게 디코딩할 수 없습니다. | 형식이 잘못된 TLS 메시지, 프로토콜 호환성 문제 또는 구현 결함으로 인해 자주 발생합니다. 패킷 캡처로 검증하고 영향을 받은 TLS 라이브러리 또는 애플리케이션을 업데이트하십시오. |
핵심 사항
- 주요 CMA 필드로 TLS 프로토콜 알림에 대해 TLS 오류 설명을 사용하십시오.
- 목적지 서버 인증서 유효성 문제에 대해 TLS 인증서 오류를 사용하십시오.
- CMA에 표시된 X.509 오류는 목적지 서버 인증서에 관한 것이며 Cato 인증서에 관한 것이 아닙니다.
- 클라이언트 측 인증서 알림은 엔드포인트 신뢰, 인증서 고정, TLS 검사 신뢰 배포와 관련될 수 있습니다; 서버 측 알림은 일반적으로 목적지 서버 동작 또는 프로토콜 협상을 가리킵니다.
- CMA 이벤트 자체로 충분하지 않을 때 지원 진단을 통해 알림 측면을 확인합니다.
추가적인 지침, 더 많은 정보는 TLS 검사에 대한 모범 사례를 참조하십시오.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.