[F-Lab 멘토링 학습]

HTTPS, TLS, SSL

everydeveloper 2023. 10. 24. 23:20

HTTPS, TLS

TLS

TLS(Transport Layer Security)는 네트워크 통신의 보안을 책임지는 암호화 프로토콜입니다. 이전에는 SSL(Secure Sockets Layer)이라고 불렸지만, 현재는 TLS가 더 발전된 버전으로 광범위하게 사용되고 있습니다.

목적

  1. 기밀성: 데이터를 암호화하여 제3자가 정보를 열람할 수 없도록 합니다.
  2. 무결성: 전송되는 데이터가 중간에 변경되거나 손상되지 않음을 보장합니다.
  3. 인증: 통신하는 양쪽 당사자가 서로를 신뢰할 수 있도록 인증서를 사용합니다.

작동 원리

  1. 핸드셰이크: 클라이언트와 서버가 처음 연결을 시도할 때, 암호화 방법과 키를 교환하는 과정을 거칩니다.
  2. 키 교환: 대칭키와 비대칭키를 사용하여 안전하게 통신을 위한 키를 교환합니다.
  3. 데이터 전송: 핸드셰이크가 완료되면, 암호화된 키를 사용하여 실제 데이터를 암호화하여 전송합니다.

버전

TLS는 여러 버전이 있으며, 각 버전은 보안 수준과 성능이 다를 수 있습니다. 가장 최신의 버전을 사용하는 것이 좋습니다.

HTTPS와의 관계

HTTPS는 HTTP에 TLS를 적용한 것으로, 웹 통신을 안전하게 만들어줍니다. 일반적으로 웹 브라우저의 주소창에 'https://'가 보이면, 그 사이트는 TLS를 사용하여 안전한 연결을 제공한다는 의미입니다.

주의사항

  1. 인증서 관리: 만료된 인증서나 신뢰할 수 없는 인증서를 사용하면 보안에 문제가 될 수 있습니다.
  2. 버전 관리: 오래된 TLS 버전은 취약점이 있을 수 있으므로, 항상 최신 버전을 유지하는 것이 중요합니다.

TLS는 현재 인터넷 통신의 보안을 담당하는 중요한 프로토콜 중 하나입니다. 따라서 이에 대한 충분한 이해와 적절한 관리가 필요합니다.

TLS/1.1 TLS 1.2 TLS/1.3

TLS(Transport Layer Security)는 여러 버전으로 제공되며, 각 버전은 보안 강화, 성능 향상, 새로운 기능 추가 등을 목적으로 개발되었습니다. 여기에는 TLS 1.1, TLS 1.2, 그리고 TLS 1.3 등이 포함됩니다.

TLS 1.1

  • 등장 배경: TLS 1.0의 취약점을 해결하기 위해 도입되었습니다.
  • 보안 강화: 특정 공격(예: BEAST 공격)에 대한 보완이 이루어졌습니다.
  • 단점: 현재로서는 상대적으로 오래되어 취약점이 많으므로, 가능하면 사용을 피하는 것이 좋습니다.

TLS 1.2

  • 등장 배경: TLS 1.1에서 미해결된 보안 이슈와 성능 문제를 해결하기 위해 나왔습니다.
  • 보안 강화: 고급 암호화 알고리즘(SHA-256 등)을 지원하여 보안을 획기적으로 강화하였습니다.
  • 성능 향상: 핸드셰이크 과정의 효율성이 개선되었습니다.
  • 널리 사용됨: 현재 가장 널리 사용되는 버전 중 하나입니다.

TLS 1.3

  • 등장 배경: 보안과 성능을 더욱 최적화하기 위한 목적으로 개발되었습니다.
  • 보안 강화: 더 강력한 암호화 알고리즘을 지원하고, 취약한 암호화 알고리즘은 제거하였습니다.
  • 성능 향상: 핸드셰이크 과정이 더 간단해져 연결 시간이 단축되었습니다.
  • Forward Secrecy 지원: 세션 키가 도난당해도 과거의 통신이 노출되지 않는 보안 기능을 기본으로 적용하였습니다.

버전 선택의 중요성

보안 수준, 호환성, 성능 등을 종합적으로 고려하여 TLS 버전을 선택해야 합니다. 가급적이면 최신 버전의 TLS를 사용하는 것이 좋지만, 이전 버전과의 호환성 문제 등을 고려해야 할 수도 있습니다.

업그레이드와 관리

시스템을 안전하게 유지하기 위해서는 TLS 버전을 주기적으로 업데이트하고 관리해야 합니다. 특히 중요한 데이터를 다루는 서비스에서는 이러한 작업이 매우 중요합니다.

SSL과 TLS 버전

SSL(Secure Sockets Layer)과 TLS(Transport Layer Security)는 인터넷에서 데이터를 암호화하여 전송하는 프로토콜입니다. 둘 다 보안 소켓 계층에서 작동하며, 신뢰할 수 있는 데이터 전송을 위해 사용됩니다. 그러나 둘 사이에는 몇 가지 중요한 차이점과 역사가 있습니다.

SSL

  • SSL 2.0: 첫 번째 버전이지만 보안 취약점이 많아 현재는 사용되지 않습니다.
  • SSL 3.0: SSL 2.0의 단점을 개선하여 나온 버전이지만, 이 버전 역시 오래되어 취약점이 발견되었습니다. (예: POODLE 공격)

TLS

  • TLS 1.0: SSL 3.0의 후속 버전으로 보안이 강화되었습니다. 그러나 이제는 취약하다고 판단되어 사용을 권장하지 않습니다.
  • TLS 1.1: TLS 1.0의 보안 취약점을 해결하였으나, 현재로서는 최신 보안 기준에 미치지 못합니다.
  • TLS 1.2: 현재 널리 사용되는 버전 중 하나로, 여러 보안 강화 기능이 추가되었습니다.
  • TLS 1.3: 최신 버전으로, 보안과 성능이 모두 개선되었습니다.

주요 차이점

  1. 보안: TLS는 SSL보다 보안이 강화되었습니다. 예를 들어, TLS 1.2 이상에서는 보안 알고리즘과 키 교환 메커니즘 등이 개선되었습니다.
  2. 성능: 특히 TLS 1.3에서는 핸드셰이크 과정이 단축되어 성능이 향상되었습니다.
  3. 호환성: SSL은 오래되었기 때문에 새로운 시스템에서는 지원되지 않을 수 있습니다. 반면 TLS는 널리 사용되고 있으며 지속적으로 업데이트되고 있습니다.

사용 추천

  • SSL은 더 이상 사용되지 않으며, 가능한 TLS의 최신 버전을 사용하는 것이 권장됩니다.
  • 특히 금융이나 의료 같은 민감한 정보를 다룰 경우에는 더욱 더 최신 버전의 TLS를 사용해야 합니다.

이와 같이 SSL과 TLS는 시간이 지남에 따라 여러 버전이 있으며, 각 버전마다 보안 수준과 성능이 다릅니다. 따라서 현재 상황과 요구사항에 맞게 적절한 버전을 선택해 사용하는 것이 중요합니다.

HTTPS 프로토콜의 사용되지 않는 SSL기술의 초기 인증서 SSL인증서를 요즘 보안기술인 TLS인증서로 바꾸어 부르지 않는 이유

"SSL 인증서"라는 용어가 일반적으로 많이 사용되는 이유는 역사적인 문맥과 상표 이름 때문입니다. SSL(Secure Sockets Layer)은 원래 Netscape에서 개발한 프로토콜로, 처음에 널리 퍼진 보안 통신 표준이었습니다. 이후에 SSL의 단점과 보안 취약점을 개선하여 TLS(Transport Layer Security)가 등장했지만, 이미 SSL이 일반적인 용어로 자리잡고 있었기 때문에 많은 사람들이 "SSL 인증서"라고 계속 부르게 되었습니다.

실제로 "SSL 인증서"라고 불리는 대부분의 인증서는 TLS 프로토콜을 사용하여 보안 연결을 제공합니다. 인증서 자체는 특정 프로토콜에 묶여 있지 않으며, 서버와 클라이언트 사이에서 어떤 암호화 방식을 사용할 것인지 협상하게 됩니다. 따라서 같은 "SSL 인증서"를 사용하여 TLS 1.2나 TLS 1.3과 같은 더 안전한 프로토콜로 연결할 수 있습니다.

이처럼 역사적인 문맥과 상표, 그리고 이미 널리 퍼진 관습 때문에 "SSL 인증서"라는 용어가 여전히 사용되고 있습니다. 하지만 현재는 실제로는 TLS 프로토콜을 사용하는 것이 대부분이며, 보안 수준을 높이기 위해서는 최신 버전의 TLS를 사용하는 것이 권장됩니다.