인터넷 보안이라고 하면 SSL, TLS, ECC, SHA 등을 떠올리게 됩니다. 이러한 모든 약어는 실제로 필요한 것을 알아내는 것을 혼란스럽게 만들 수 있습니다. 아마도 가장 많이 묻는 질문은 SSL (Secure Socket Layers)과 TLS (Transport Layer Security)의 차이점입니다. 웹 사이트 (또는 다른 유형의 통신) 보안을 원하지만 SSL이 필요합니까? 아니면 TLS가 필요합니까? 아니면 모두 필요합니까?
SSL과 TLS의 간략한 역사
SSL 및 TLS는 네트워크 (예 : 웹서버에 연결하는 클라이언트)를 통해 작동하는 서버, 시스템 및 응용프로그램간에 인증 및 데이터 암호화를 제공하는 암호화 프로토콜입니다. SSL은 TLS의 이전의 프로토콜입니다. 수년동안 취약성을 해결하고 더 강력하고 안전한 암호화 제품군 및 알고리즘을 지원하기 위해 새로운 버전의 프로토콜이 출시되었습니다.
SSL은 원래 Netscape에 의해 개발되었으며 1995년 SSL 2.0 (1.0은 대중에게 공개되지 않음)을 통해 처음으로 등장했습니다. 몇가지 취약점이 발견된후 1996년에 버전 2.0이 SSL 3.0으로 빠르게 대체되었습니다. 참고로 버전 2.0 및 3.0은 때로 SSLv2 및 SSLv3으로 표기됩니다.
TLS는 1999년에 새 버전의 SSL으로서 도입되었으며 SSL 3.0을 기반으로 했습니다.
"이 프로토콜과 SSL 3.0의 차이점은 극적은 아니지만 TLS 1.0과 SSL 3.0이 상호 운용되지 않을 만큼 중요합니다."
TLS는 이전에 1.2 버전이 사용되고 있으며, 최근 국제인터넷표준화기구가 10년만에 TLS 1.3 공식 발표했습니다.
SSL 또는 TLS를 사용해야 합니까?
SSL 2.0 및 3.0 모두 IETF에 의해 사용 중지되었습니다 (각각 2011년 및 2015년). 폐기된 SSL 프로토콜 (예 : POODLE, DROWN)에서 수년동안 취약점이 발견되어 계속해서 개선되고 있습니다. 대부분의 최신 브라우저는 이전 프로토콜을 사용하는 웹서버를 만날 때 사용자 환경이 저하될 수 있습니다 (예 : URL 표시 줄의 자물쇠 또는 보안 경고). 이러한 이유로 서버 구성에서 SSL 2.0 및 3.0을 비활성화해야 하며 TLS 프로토콜만 사용하도록 설정해야 합니다.
인증서는 프로토콜과 동일하지 않습니다.
누구든지 기존 SSL 인증서를 TLS 인증서로 대체해야 한다는 걱정을 하기 전에 인증서가 프로토콜에 의존하지 않는다는 점에 유의해야 합니다. 많은 공급 업체가 "SSL / TLS 인증서"라는 문구를 사용하는 경향이 있지만 프로토콜은 인증서 자체가 아니라 서버 구성에 따라 결정되므로 "SSL 및 TLS와 함께 사용할 인증서"라고 하는 것이 더 정확할 수 있습니다.
더 많은 사람들이 익숙한 용어이기 때문에 SSL 인증서라고 하는 인증서를 계속 볼 수는 있지만 업계 전반에 TLS 용어 사용이 늘어나기 시작했습니다. SSL / TLS는 더 많은 사람들이 TLS에 익숙해질 때까지 공통적인 절충안입니다.
SSL과 TLS는 서로 다른 암호를 사용합니까?
사실, 이 질문에 대한 답은 "예"이지만, SSL 2 및 3의 역사적인 버전이나 1.1, 1.2 또는 1.3의 TLS 버전 1에 관해서도 똑같이 말할 수 있습니다. SSL과 TLS는 모두 거의 동일한 프로토콜이지만 버전 차이로 인해 SSL 2는 버전 3과 상호 운용되지 않으며 SSL 버전 3은 TLS 버전 1과 호환되지 않습니다. TLS (Transport Layer Security)는 SSL v4에 대한 새로운 이름이었지만 본질적으로 동일한 프로토콜에 대해 이야기하고 있다는 것을 불평할 수도 있습니다.
새로 출시된 프로토콜 버전은 자체 개선 및/또는 새로운 또는 향후 제공되지 않을 기능과 함께 제공될 예정입니다. SSL 버전 1은 출시되지 않았지만 버전 2는 몇가지 주요 결함이 있었으며, SSL 버전 3은 버전 2의 개정 (이러한 결함 수정)과 TLS 버전 1은 SSL 버전 3의 개선이었습니다. TLS 1.0 릴리스이후 중요성은 덜하지만, 그렇다고 중요성은 적지 않습니다.
SSL과 TLS는 단순히 클라이언트와 서버간에 발생하는 핸드 셰이크를 나타낸다는 것에 주목할 필요가 있습니다. 핸드 셰이크는 실제로 암호화 자체를 수행하지 않으며, 공유되는 비밀 및 사용될 암호화 유형을 결정하는 절차를 진행합니다.
SSL 2.0 및 3.0 사용중지
서버가 여전히 SSL 프로토콜을 지원하는지 확실하지 않으면 SSL 서버 테스트를 사용하여 쉽게 확인할 수 있습니다.
SSL 서버 테스트 : GlobalSign 서버 테스트의 결과는 활성화되었지만 없어야 하는 프로토콜을 강조 표시합니다.
"SSL과 TLS의 차이점은 무엇입니까?"라는 대화에서 많은 사람들이 SSL이라는 용어를 점점 사용하지 않습니다. 서버 구성 측면에서 볼때 취약점, 구식 암호 제품군 및 브라우저 보안 경고의 차이점이 있습니다. 서버와 관련하여 TLS 프로토콜만 사용하도록 설정해야 합니다.
댓글 없음:
댓글 쓰기