블로그

HTTPS의 "S"는 SSL을 의미하지 않습니다.

로리 맥비티 썸네일
로리 맥비티
2015년 12월 7일 게시

브라우저에 자물쇠 아이콘이 표시되면 해당 사이트가 SSL을 사용하여 통신을 보호하고 있다고 가정하는 것은 자연스러운 일입니다. 이는 또한 소비자에게 해당 사이트가 실제로 안전하다는 신호를 보내는 것으로 보입니다. CA 보안 위원회의 2015년 소비자 신뢰 조사에 따르면 "단 3%만이 자물쇠 아이콘이 없는 사이트에 신용카드 정보를 제공할 의향이 있다"고 합니다.

영향은 소비자에게만 국한되지 않습니다. 최신 애플리케이션 제공 상태 설문 조사에 응답한 사람 중 이미 "SSL Everywhere"를 구현했거나 구현할 계획이 있는 사람은 조직이 애플리케이션 계층 공격을 견뎌낼 수 있는 능력에 대해 더 높은 확신(1~5점 척도에서 3점 이상)을 보였습니다.

영상

사실 대부분의 사람들은 SSL이 무엇의 약자인지 말할 수 없고, 더 나아가 어떻게 작동하는지 설명할 수도 없습니다. 하지만 그들이 아는 것은 앱이나 웹 사이트와 상호 작용하는 동안 거래(따라서 잠재적으로 기밀 정보)의 보안을 보장하는 메커니즘이라는 것입니다.

그것은 부분적으로 우리(시장)의 잘못입니다. 우리는 프로토콜( RFC 6101 )에 대한 설명이자 보안 연결을 설명하는 일반적인 방법으로 SSL을 사용했습니다. SSL은 보안의 반창고이고, 검색엔진의 구글이며, 휴지의 클리넥스입니다.

현실적으로 HTTPS는 실제로 SSL을 필요로 하지 않습니다. HTTPS의 "S"는 보안을 의미하며, 브라우저와 웹사이트처럼 두 엔드포인트 간의 연결을 보호하는 방법이 필요합니다. 증가한다는 것은 실제로 SSL이 아닌 TLS를 통한 HTTP를 의미합니다.

이는 중요한 차이점인데, 둘은 근원은 같지만 TLS는 다르고 SSL도 TLS가 아니기 때문입니다. 이들은 서로 다른 프로토콜이며, 각 프로토콜마다 고유한 과제, 문제점 및 영향이 있습니다. 두 보안 연결은 모두 동일한 방식으로 보안을 유지합니다. 즉, 인증에는 인증서를 사용하고 암호화에는 공개/개인 키 쌍을 사용하지만 구현 방식에는 차이가 있습니다.

왜 관심을 가져야 하나요? 최신(아마도 가장 뛰어난) 웹 애플리케이션 프로토콜(HTTP/2와 SPDY)은 SSL을 지원하지 않으므로 주의해야 합니다. TLS를 지원합니다. 정확히는 필요하지 않지만 두 가지를 모두 지원하는 브라우저 구현은 TLS를 통해서만 지원을 제공합니다. SSL이 아닙니다.

물론 오늘날 HTTP/2 또는 SPDY를 사용하는 사이트의 수는 많지 않지만 그 수는 늘어나고 있습니다. 상위 1000개 사이트 중 7.5%가 현재 HTTP/2를 통해 콘텐츠를 제공하고 있다는 점을 고려하세요.

W3CTech에서 (2015년 7월):

2015년 5월에 최종 버전이 공개된 새로운 HTTP/2 표준은 현재 모든 웹사이트의 0.4%에서 사용되고 있으며(이달 초에는 0.24% 증가), 상위 1,000개 사이트 의 7.5%에서 사용되고 있습니다.

클립_이미지002

이제 우리가 브라우저와 서버에 대해서만 이야기하는 것이 아니라는 점을 고려하세요. 또한, HTTP/2나 SPDY뿐만 아니라 TLS도 사용해야 하는 Google과 같은 상위 1000개 사이트에서 제공되는 API를 사용하는 경우 통합에 어떤 의미가 있는지도 고려해야 합니다. Google의 모든 공개 서비스에서 암호화를 제공하며 TLS를 사용합니다. Google의 일부 기능을 통합하는 경우 SSL 대신 TLS를 사용한다는 점이 중요할 수 있습니다. 왜냐하면 그것은 후드 아래에 차이를 만들기 때문입니다.

또한 사업적인 영향도 있다는 점을 명심하세요. PCI에 따라 2016년 6월 30일 이후 SSL을 더 이상 사용할 수 없습니다.  그 시점부터는 TLS가 명시적으로 요구됩니다.  이는 PCI를 준수하기 위해 몇 가지 변경이 필요하다는 것을 의미합니다. 물론 그렇게 해야 합니다. 준수하지 않으면 엄청난 결과가 있기 때문입니다. 예를 들어, 신용카드 발급사로부터 더 높은 가맹점 계좌 수수료와 벌금이 부과되거나, 결제 및 거래 처리 능력이 완전히 취소될 수 있습니다. 보안 침해가 발생하면 귀사의 사업은 보안 측면에서 상당한 주의를 기울이지 않았다는 이유로 소송과 벌금의 위험이 더 커집니다.

마지막으로 TLS로 전환해야 하는 이유를 자세히 설명하는 매우 강력한 표현의 RFC( RFC 7568 )가 있습니다.

3.  SSL 버전 3.0을 사용하지 마십시오






   SSLv3은 사용해서는 안 됩니다 .  협상SSLv3 ~에서 TLS의 모든 버전

   허용되어서는 안 됩니다 .







   TLS의 모든 버전  SSLv3 보다 더 안전 하지만 가장 높은

   현재 사용 가능한 버전  더 좋습니다 .

지금 당장 SSL에서 TLS로 전환할 것이라고 가정하는 것은 불가능합니다. 결국 TLS는 SSL v3에 기반을 두고 있지만 이전 버전과 100% 하위 호환되지 않으며 SSL을 비활성화하고 TLS 사용을 강제하려면 일부 구성을 변경해야 합니다. 일반적으로 재부팅이 필요한 구성 변경입니다. 대규모 환경에서 이러한 과정은 당연히 방해가 되고 시간이 많이 걸립니다.

하지만 SSL을 얼마 동안 지원할 것인지, 그리고 순수하게 TLS로 전환할 시점은 언제인지 진지하게 고려해봐야 할 때입니다.