윈디하나의 누리사랑방. 이런 저런 얘기

글쓴시간
분류 기술,IT/서버

TLS 1.2

- TLS(Transport Layer Security)는 인터넷 프로토콜 암호화 규격이라고 이해하면 쉽다. 예전(2000년대 초)에는 SSL(Secure Sockets Layer)도 많이 사용되었지만 현재는 TLS를 권장하고 있다. SSL은 v3.0 까지 나와있지만, v3.0에서도 보안에 문제가 있기 때문에 SSL을 사용하는 것은 권장하지 않는다.

- 윈도 7의 익스플로러 9에서는 TLS 1.1, TLS 1.2가 비활성화 되어있다. 이 글을 쓰는 시점에서 TLS 1.2를 지원하는 브라우저가 별로 없는데, 윈도에서는 오페라와 사파리가 있다. 사파리의 경우 최근에서야 지원하기 시작했으며 크롬도 최근 업데이트부터 TLS 1.1을 지원한다. 파이어폭스는 아직 지원하지 않는다.

- 어쩄든 윈도 7의 익스플로러 9에서는 TLS를 활성화 할 수 있다. 아래와 같이 인터넷 옵션에서 바꿔주면 된다.

사용자 삽입 이미지

IE9의 TLS 1.1, TLS 1.2세팅 화면. 인터넷 옵션 화면에서 고급 탭에 있다.

- 예전엔 Apache-OpenSSL 조합의 웹 서버에서 TLS 1.2를 지원하지 못했는데, 2012년 초에 OpenSSL 1.0.1 이 나오면서 TLS 1.2를 지원하기 시작했다. 즉 2011년에는 브라우저에서 TLS 1.2를 지원해도 서버에서 지원하지 못하는 경우가 많았다는 의미다. 지금은 서버, 클라이언트 모두 지원할 수 있는 환경이 갖춰져 있으니 TLS 1.2를 활성화 해놓는게 좋을 것이다.

- TLS 1.1은 TLS 1.0에 비해 많은 것이 바뀌었다. 이 변경점은 CBC에서 예상되는 문제를 보완하기 위해 변경했기 때문에 반드시 TLS 1.0 대신 TLS 1.2을 사용해야 한다. (이를 이용한 TLS 1.0에 대한 취약점은 BEAST 패치를 통해 해결할 수 있다. TLS1.0 을 지원하는 대부분의 브라우저는 패치되어있을 것이다. 참고로 TLS 1.0과 SSL 3.0은 사실상 같은 프로토콜이다)  TLS 1.2는 SHA-1을 사용하던 해시 알고리즘을 SHA-256으로 변경하고, 다양한 알고리즘을 수용할 수 있도록 변경되었다.

----

2014.08.29 업데이트: 현재는 대부분의 브라우저에서 TLS 1.2를 지원하고 있다. ECDHE나 GCM 같은 알고리즘도 지원해준다. TLS 1.2 은 아직까지는 보안 결함이 없는 것으로 알려져 있다. 반대로, TLS 1.1도 지금 단계에서는 안심할 수 있는 단계가 아니다. 일부 취약점들이 보고되고 있다고 한다.