http 프로토콜만을 가지고 웹 서비스를 배포할 시 보안에 취약할 수 있기 때문에 크롬 같은 경우 안전하지 않은 페이지라고 접속부터 경고를 주거나 차단하는 경우가 있다.
그래서 대부분 웹 서비스를 배포할 때 SSL 인증서를 Let’s encrypt 같은 곳에서 발급받아서 SSL을 붙여 https로 배포하고 있다.
SSL
원래 HTTP 프로토콜을 사용하면 위에서 말했다싶이 제 3자가 데이터를 가로채기 아주 단순했다. 이러한 문제 때문에 인터넷 통신에서는 보안에 대해 더 신경을 쓰기 시작했고 기밀성, 무결성, 인증을 보장하기 위해 Netscape가 개발하였다.
하지만 현재 SSL 2.0과 SSL 3.0은 여러 보안 취약점이 있으며, 오늘날의 보안 표준을 만족시키지 못한다. 사실상 요즘에는 못 써먹을 보안 수준이기에 SSL은 대부분 사용 중단을 권장하고 있다.
TLS
TLS(Transport Layer Security)는 인터넷 상에서 안전한 통신을 제공하기 위한 암호화 프로토콜이다.
TLS는 SSL의 후속 버전으로, 보안성과 성능이 향상되었다.
SSL은 사실상 1996년 3.0버전을 마지막으로 업데이트가 되지 않고 있으며
TLS는 꾸준히 업데이트가 되고있다.
또한 Netscape가 개발에서 빠지면서 소유권으로 인해서 SSL → TLS가 된 것이라고 한다.
SSL vs TLS
암호화 알고리즘
- SSL:
- 주로 MD5와 SHA-1 해시 알고리즘을 사용한다.
이는 현재 보안상 취약점이 있는 것으로 간주된다.
- 주로 MD5와 SHA-1 해시 알고리즘을 사용한다.
- TLS:
- SHA-256 및 더 강력한 해시 알고리즘을 사용한다.
또한, TLS 1.3은 보안이 약한 암호화 알고리즘을 제거하고, 최신 암호화 기법을 채택했다.
- SHA-256 및 더 강력한 해시 알고리즘을 사용한다.
핸드셰이크 과정
- SSL:
- 더 복잡하고 많은 단계를 포함하기에 보안 취약점이 발생할 수 있다.
- TLS:
- 핸드셰이크 과정이 단순화되고 보안이 강화되었다.
특히 TLS 1.3은 핸드셰이크 과정을 대폭 줄여 성능과 보안을 동시에 개선했다.
- 핸드셰이크 과정이 단순화되고 보안이 강화되었다.
요약
- SSL는 초기의 보안 프로토콜로, 여러 보안 취약점이 발견되어 더 이상 사용이 권장되지 않는다.
- TLS는 SSL의 후속 버전으로, 더 강력한 보안과 성능을 제공한다.
현재의 보안 표준에 부합하며, 최신 버전인 TLS 1.3은 성능과 보안성을 크게 개선했다.
결론적으로 우리는 TLS 인증서를 사용하고 있다.
요즘에는 SSL/TLS로 합쳐서 부르고 있으나 사실상 TLS보다는 SSL 인증서라는 말을 더 사용하고 있다.
하지만 알고보면 SSL은 대부분 사용 중단이 권장되고 있고 흔히 우리가 무료로 발급받는 Let’s encrypt에서도 SSL 인증서를 발급해주는 것이 아니라 TLS 인증서를 발급해주고 있다.
Let's Encrypt에서 제공하는 인증서는 정확히 말하면 SSL 인증서가 아니라 TLS 인증서이다.
이 인증서는 SSL(TLS의 초기 버전) 및 TLS(최신 보안 프로토콜) 모두에서 사용될 수 있다.
그러나 오늘날 대부분의 서버와 클라이언트는 TLS를 사용하여 보안 연결을 설정한다.
따라서, Let's Encrypt와 같은 인증 기관이 제공하는 인증서는 주로 TLS를 사용하여 보안 통신을 설정하는 데 사용된다.
"SSL 인증서"라는 용어는 관습적으로 사용되고 있지만, 실제로는 최신 보안 프로토콜인 TLS에서 사용되는 인증서를 의미한다.
학습 참조: chatGPT, https://letsencrypt.org/ko/
