SSL Server Certificate는 PCI DSS requirements 4.1 요구사항 충족을 위해서 필요합니다.
ActiveX plugin방식의 End-to-End 방식을 검토하는 경우가 있을 수 있으나
이것은 OWASP 10대 보안취약점에 대한 대응 등 다른 문제를 야기할 수 있으므로
결코 권고하지 않으며 말도 안되는 현상이지만 국내에서는 버젓이 하나의 상품으로 자리잡고 있는 현실이 안타깝습니다.
오로지 산업 표준 세션 보안 방식인 SSL을 사용할것을 권장합니다.
웹서버에서 SSL Server를 설정할 때는 가용한 프로토콜중 SSLv3, TLSv1만을 이용하고
보안상 취약점이 알려진 SSLv2는 disable해야합니다.
비용등을 감안한다면 wildcard ssl server certificate (*.paygate.net 과 같은 형태)도 고려해봄직합니다.
SSL Server Certificate를 발급하는 업체 목록은
아래 링크에서 찾아볼 수 있습니다.
http://www.google.co.kr/Top/Computers/Security/Public_Key_Infrastructure/PKIX/Tools_and_Services/Third_Party_Certificate_Authorities/
댓글 없음:
댓글 쓰기