TLS 버전 차이

보안취약점 점검에서 TLS 버전이 1.0, 1.1 버전으로 낮은 것이 문제가 되었다.

TLS와 SSL, 그리고 TLS 버전에 대해 알아보자.

 

우선 TLS와 SSL은 인터넷 통신을 암호화하는 보안 프로토콜이다.

둘 다 데이터를 안전하게 전송하고 서버와 클라이언트 간의 기밀성과 무결성을 보장하기 위해 사용되며, HTTPS를 통해 주로 사용된다.

SSL은 TLS의 전신으로, TLS가 SSL을 대체하게 되면서 최신 기술 표준으로 자리 잡았다.

 

SSL과 TLS의 차이

 

• SSL(Secure Sockets Layer)
  • 1990년대 중반 Netscape에서 개발되었으며, SSL 3.0이 마지막 버전.
  • SSL은 여러 보안 취약점을 가지고 있어 더 이상 사용되지 않는다.
• TLS(Transport Layer Security)
  • SSL 3.0을 기반으로 개선된 프로토콜.
  • TLS는 더 강력한 보안 기능을 제공하며, 현재까지도 지속적인 업그레이드가 이루어지고 있다.

 

주요 프로토콜 버전

• TLS 1.0
  • 1999년에 발표된 첫 번째 TLS 표준.
  • SSL 3.0과 비슷하지만 몇 가지 보안 개선이 이루어졌다. 그러나 더 최근에는 보안 결함이 발견되어 사용이 권장되지 않는다.
• TLS 1.1
  • 2006년에 발표된 버전.
  • TLS 1.0에서 약간의 보안 개선이 있었으나, 여전히 현대적인 보안 요구를 충족하지 못한다.
• TLS 1.2
  • 2008년에 발표된 가장 많이 사용되는 TLS 버전.
  • 보안 수준이 크게 향상되었으며, SHA-256 해시 함수를 사용한 더 안전한 메시지 인증 코드(MAC)를 포함하고, AES 암호화를 사용하여 보안을 강화했다.
• TLS 1.3
  • 2018년에 발표된 최신 버전.
  • 성능과 보안성이 더욱 강화되었으며, 불필요한 암호화 방식들이 제거되어 더욱 빠르고 안전한 연결이 가능하다.

 

TLS 1.0/1.1 버전 사용 중단을 권장하는 이유

• 취약성: TLS 1.0과 1.1은 여러 취약점을 가지고 있으며, 공격자가 중간자 공격 등을 통해 데이터를 탈취하거나 변조할 수 있는 위험이 있다.
• 규제 및 표준: 웹 브라우저, 운영 체제가 TLS 오래된 버전을 지원 중단하고 있다.
• 성능 향상: 최신 버전이 더 강력한 암호화 알고리즘을 사용하며, 서버와 클라이언트 간의 핸드셰이크 과정에서 성능이 개선되어 더 빠르고 안전한 통신을 보장한다.