Cisco 방화벽과 TLS 1.3의 호환성 문제
2025-05-22
한 회사가 Cisco 방화벽에서 문제를 겪었습니다. TLS 1.3으로 서버 인증서가 암호화되기 때문에 방화벽이 인증서 내용을 기반으로 URL이나 애플리케이션 접근 규칙을 적용할 수 없었습니다. 이를 해결하기 위해 Cisco는 TLS 서버 ID 검색 기능을 도입하여 추가적인 TLS 1.2 핸드셰이크를 통해 평문으로 인증서를 가져옵니다. 하지만 이는 Postgres 데이터베이스의 예상 동작과 충돌했습니다. 실제 문제는 TLS 1.3 비호환성이 아니라 방화벽이 알 수 없는 애플리케이션을 차단하도록 구성되지 않았다는 점이었습니다. 방화벽은 3초 동안 인증서를 학습하려고 시도한 후 포기하고 연결을 허용했습니다.
기술