TLS의 초기 버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약하며 프로토콜 취약점으로 인한 세션 하이제킹이 발생할 수 있습니다.
- POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점
구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점
- BEAST(Browser Exploit Against SSL/TLS) 취약점
클라이언트 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점
지원이 중단되면 해당 프로토콜만 사용 시 최종 클라이언트들은 HTTPS로 접속이 불가한 경우가 발생되며
서비스에 영향을 줄 수 있습니다.
인증서는 프로토콜 버전을 조정하거나 제약할 수 없습니다. 프로토콜은 오직 서버 설정 및 사양에 따라 이루어집니다.
마찬가지로 발급에 따라서 TLS 용 인증서가 따로 있지는 않습니다.
서버에서는 적용이 확인이 되었지만, 클라이언트나 SSL LABS에서는 활성화가 되지 않은 것을 확인할 수도 있습니다.
이는 망 구성도에서 웹 방화벽이 존재할 경우 나타날 수 있습니다.
서버에서는 바뀌었지만, 클라이언트 같은 외부 접속자는 웹 방화벽을 거치게 되므로 웹 방화벽 장비의 설정을 볼 수도 있습니다.
프로토콜 적용 후에는 어떤 서버이든 재 시작이 필요합니다. 다만, IIS를 제외한 서버는 웹 서버만 재 시작을
하면 됩니다. IIS 같은 경우 레지스터리를 수정해야 함으로 서버 자체를 재 시작 해야 합니다.
적용 후 확인 방법은 보통 리눅스 계열의 경우 서버에서 아래의 명령어로 확인이 가능합니다
openssl s_client -connect 127.0.0.1:443 -tls1_2
위 명령어로 CONNECTED(00000003) 이 확인이 되면 됩니다.
Webtob의 경우는 아래의 명령어로 확인 가능합니다.
wbssl s_client -connect 127.0.0.1:443 -tls1_2
그 밖에는 아래의 사이트에서 TLS 적용을 확인 할 수 있습니다.
https://www.ssllabs.com/
사이트에 접속 후 아래의 방법대로 진행하시면 됩니다.
1. Test your Server 클릭
2. 도메인을 입력합니다.
3. 지원되고 있는 버전을 확인 합니다.
웹서버 | 구성조건 | ||
---|---|---|---|
Apache | |||
Openssl 1.0.1 이상 | |||
IIS | Window Server 2008 R2 이상 | ||
Webtob | |||