SSL/TLS
- 통신 내용을 암호화해 주는 프로토콜
- 프로토콜의 이중 구조
- 예) SSL/TLS 상에 HTTP를 올린 후 HTTP의 통신 암호화 (https)
SSL
- 1994년 Netscape사가 제작
- 1995년, SSL 3.0 등장
TLS
- 1999년, TLS 1.0 등장
- SSL3.0을 기초로 해서 IETF가 만든 프로토콜
- 2006년, TLS 1.1 등장
- 대칭암호 알고리즘으로서 AES 추가
- 2008년, TLS 1.2 등장
- Heartbleed (CVE-2014-0160), POODLE (CVE-2014-8730)
- 2018년, TLS 1.3 등장
- 핸드세이크 개선, Cipher Suite 개선, 타원곡선 알고리즘을 기본으로 지원
- DH를 키 교환 방식으로 사용 (RSA 미사용)
TLS 1.2와 TLS 1.3 비교
- TLS 1.3의 개선 사항
- 핸드셰이크에 '0-RTT' 모드 추가
- 정적인 묶음 방식의 암호화 스위트(Cipher Suite) 개선
- 핸드셰이크를 가능한 최대한 암호화
- 타원 곡선 알고리즘을 기본으로 지원
- 키 교환과 암호화 방식을 묶음 방식이 아니라, 개별적으로 결정
암호화 및 보안 모니터링
- 암호화된 네트워크 트랜잭션
- 공격자는 SSL/TLS를 사용하여 암호화된 네트워크 트랜잭션을 악용할 수 있다.
- 예) 네트워크에 규정 준수 위반, 바이러스, 멀웨어, 데이터 손실 및 침입 시도
- 보안 경고와 관련된 PKI 관련 문제는 다음과 같다.
- 유효 날짜 범위
- 서명 유효성 검사 오류
- SSL/TLS 관련 문제는 웹 서버의 인증서 유효성 검사와 관련이 있다.
- 공격자는 SSL/TLS를 사용하여 암호화된 네트워크 트랜잭션을 악용할 수 있다.
'공부' 카테고리의 다른 글
| WSL 2에서 윈도우에서 오픈한 localhost 서버 접속 (0) | 2023.11.30 |
|---|---|
| Git 정리 (0) | 2023.09.17 |
| 컴퓨터 구조 기초 (실습편) 과제 (0) | 2023.09.12 |