ssl_versions - 서버에서 지원되는 SSL 버전 구성 매개변수
이 구성 매개변수는 서버가 수신 연결 요청에 대해 지원하는 SSL(Secure Socket Layer) 및 TLS(Transport Layer Security) 버전을 지정합니다.
CVE-2023-32342 에 대한 대응으로 KI DT223175 가 포함된 Db2 릴리스는 RSA 키 교환을 사용하는 TLS 암호에 대해 FIPS가 아닌 IBM Crypto for C(ICC)를 사용합니다. 이는 FIPS 인증 IBM Crypto for C(ICC)가 CVE-2023-32342 에 취약하기 때문입니다.
FIPS 140인증 암호화 모듈만 사용해야 하는 고객은 엄격한 FIPS 모드를 사용해야 합니다. 엄격한 FIPS 모드에서 DT223175 가 포함된 Db2 릴리스는 CVE-2023-32342 에 취약한 모든 TLS 암호화 방식과 버전을 비활성화합니다.
- 1.0 과 1.1 SSL_VERSIONS 설정에 관계없이 엄격 모드에서 비활성화됩니다. 지원되는 유일한 암호화 방식이 RSA 키 교환이기 때문입니다. SSL_VERSIONS DBM CFG 파라미터가 설정되지 않았거나 TLSV1 로 설정되어 있는 경우, 1.2 대신 활성화됩니다.
- RSA 키 교환을 사용하는 1.2 암호화(TLS_RSA_*)는 비활성화됩니다. SSL_CIPHERSPECS DBM CFG 파라미터에 남은 암호가 없다면, 지원되는 모든 ECDHE 암호가 활성화됩니다. 예를 들어, RSA 인증서를 사용하는 경우, Db2 1.2 에 대해 자동으로 TLS_ECDHE_RSA 암호화를 선호하며, 인증서 변경이 필요하지 않습니다.
- 1.3 CVE-2023-32342 영향을 받지 않으며, 엄격한 FIPS 모드에서도 동작이 변경되지 않습니다.
- 구성 유형
- 데이터베이스 관리자
- 매개변수 유형
- 구성 가능
- 기본값 [범위]
- Null [ TLSV1, TLSV12 , TLSV13 ]
SSL_VERSIONS에 대한 기본값은 널(NULL)입니다. 매개변수를 NULL로 설정하면, 해당 매개변수는 1.2 지원을 활성화합니다. 11.5.9 이전의 Db2 버전에서는 NULL 값을 통해 1.1 과 1.0 지원할 수 있습니다. 1.3 기본적으로 활성화되어 있지 않습니다.
매개변수를 TLSV12 (RFC5246) 로 설정하면, 매개변수는 TLS 1.2에 대한 지원을 사용 가능하게 합니다.
매개변수를 TLSV13 (RFC8446) 으로 설정하면 매개변수가 TLS 1.3에 대한 지원을 사용으로 설정합니다.
매개변수에 여러 TLS 버전이 지정된 경우 (예: TLSV13,TLSV12), 이 매개변수는 이전 TLS 버전으로 폴백하는 옵션을 사용하여 지정된 최신 TLS 버전에 대한 지원을 사용으로 설정합니다.