SSL(Secure Socket Layer)과 TLS(Transport Layer Security)의 차이점은?
웹 사이트 보안을 원한다면 SSL이 필요한가? TLS가 필요한가? 아니면 모두 필요한가?
SSL과 TLS의 간략한 역사
SSL 및 TLS는 인터넷을 통해 작동하는 서버, 시스템 및 응용 프로그램 간에 인증 및 데이터 암호화를 제공하는 프로토콜이다. SSL은 TLS 이전의 프로토콜이다. 수년 동안 취약성을 해결하고 더 강력하고 안전한 암호화 제품군 및 알고리즘을 지원하기 위해 새로운 버전의 프로토콜이 출시되었다.
SSL은 원래 Netscape에 의해 개발되었으며 1995년 SSL 2.0 (1.0은 대중에게 공개되지 않았음)을 통해 처음으로 등장했다. 몇가인지 취약점이 발견된 후 1996년에 버전 2.0이 SSL 3.0으로 빠르게 대체되었다. 참고로 버전 2.0 및 3.0은 때때로 SSLv2 및 SSLv3으로 표기된다.
TLS는 1999년에 새 버전의 SSL으로써 도입되었으며, SSL 3.0을 기반으로 한다.
TLS 1.0 프로토콜과 SSL 3.0의 차이점은 극적은 아니지만 상호 운용되지 않을 만큼 중요하다.(?!)
기존 TLS는 1.2 버전으로 사용되고 있으며, 최근 국제인터넷표준기구(IETF; Internet Engineering Task Force)가 10년 만에 TLS 1.3을 공식 발표했다.
SSL 또는 TLS를 사용해야 할까?
SSL 2.0 및 3.0 모두 IETF에 의해 사용 중지되었다(각각 2011년, 2015년). 폐기된 SSL 프로토콜(POODLE, DROWN 등)에서 수년 동안 취약점들이 발견되며 개선되어 왔다. 대부분의 최신 브라우저는 이전 프로토콜을 사용하는 웹 서버를 만날 때 사용자 환경이 저하될 수 있다(예; URL 표시줄의 자물쇠 또는 보안 경고 표시). 이러한 이유로 서버 구성에서 SSL 2.0 및 3.0을 비활성화해야 하며 TLS 프로토콜만 사용하도록 설정해야 한다.
인증서는 프로토콜과 동일하지 않다.
누구든지 기존 SSL 인증서를 TLS 인증서로 대체해야 한다는 걱정을 하기 전에 인증서가 프로토콜에 의존하지 않는다는 점에 유의해야 한다. 많은 공급 업체가 "SSL/TLS 인증서"라는 문구를 사용하는 경향이 있지만 프로토콜은 인증서 자체가 아니라 서버 구성에 따라 결정되므로 "SSL 및 TLS와 함꼐 사용할 인증서"라고 하는 것이 더 정확할 수 있다.
더 많은 사람들이 익숙한 용어이기 때문에 SSL 인증서라고 하는 인증서를 계속 볼 수 있지만 업계 전반에 TLS 용어 사용이 늘어나기 시작했다. SSL/TLS는 더 많은 사람들이 TLS에 익숙해질 때까지 공통적인 절충안이다.
SSL과 TLS는 서로 다른 암호를 사용할까?
SSL과 TLS는 거의 동일한 프로토콜이지만 버전 차이로 인해 SSL 2.0는 3.0 버전과 상호 운용되지 않으며, SSL 3.0은 TLS 버전 1과 호환되지 않는다. TLS는 SSL v4에 대한 새로운 이름이었지만 본질적으로 동일한 프로토콜에 대해 이야기하고 있다는 것을 불평할 수도 있다.
새로 출시된 프로토콜 버전은 자체 개선 및 새로운, 향후 제공되지 않을 기능과 함께 제공될 예정이다. SSL 버전 1은 출시되지 않았지만 버전 2는 몇가지 주요 결함이 있었으며, SSL 버전 3은 버전 2의 개선과 TLS 버전 1은 SSL 버전 3의 개선이었따. TLS 1.0 릴리즈 이후 중요성은 덜하지만 그렇다고 중요성이 적은건 아니다.
SSL과 TLS는 단순히 클라이언트와 서버 간에 발생하는 핸드 셰이크를 나타낸다는 것에 주목할 필요가 있다. 핸드 셰이크는 실제로 암호화 자체를 수행하지 않으며, 공유되는 비밀 및 사용될 암호화 유형을 결정하는 절차이다.
[출처] SSL vs. TLS - 차이점은 무엇인가?, smartits, smartits.tistory.com/209
'Network' 카테고리의 다른 글
SDN, NFV과 VNF (0) | 2021.02.14 |
---|---|
L2, L3, L4, L7 switch 구분 및 개략 (0) | 2021.02.07 |