웹서버

[정보] SSL/TLS vs. HTTPS

투칼론 2022. 10. 17. 11:38
반응형

1. SSL/TLS

 

1) SSL

SSL(Secure Sockets Layer)은 1995년부터 1998년까지 Netscape Communications사에서 수석 과학자인 Taher Elgamal의 주도로 만들었습니다. 

  • SSL 1.0 : 1.0은 심각한 보안 결함으로 공개적으로 릴리스 하지 않음
  • SSL 2.0 : 2.0은 1995년 2월 출시. 많은 보안 및 사용성 결함 발견됨
  • SSL 3.0 :

       1) 3.0은 1996년에 출시 함. 기존 2.0의 심각한 보안 결함으로 완전히 재설계함. IETF에 의해 RFC 610으로 표준 문서 

       2) 2014년에 POODLE 공격 취약점이 밝혀져, 2015년 6월 RFC 7568에 의해 더이상 사용하지 않기로 함

 

2) TLS

TLS(Transport Layer Security)의 처음 버전인 TLSv1.0는 SSL 3.0의 업그레이드 버전이지만, 상호 운용성을 배제합니다.

  • TLS 1.0 : 1999년 1월 RFC 2246에서 SSL 3.0의 업그레이드로 처음 정의됨. 2018년에 상위 버전으로 업그레이드 권고됨
  • TLS 1.1 : 2006년 4월 RFC 4346에 의해 정의됨. 2020년 경부터 TLS 1.0과 1.1 사용 권장하지 않음
  • TLS 1.2 : 2008년 8월 RFC 5246에 의해 정의됨. 
  • TLS 1.3 : 2018년 8월 RFC 8446에 의해 정의됨. Firefox 60 릴리스에서 TLS 1.3을 기본적으로 활성화함

SSL/TLS는 HTTPS(HTTP이 보안강화) 기능을 제공하기 위해 대부분 브라우저 및 웹서버에서 지원하고 있습니다.

 

3) SSL/TLS 버전 지원 테스트

  • openssl 명령어로 사이트 SSL/TLS 버전 지원 테스트 방법

     $ openssl s_client -connect 도메인:포트 -tls1_1               // TLS 1.1 테스트

     $ openssl s_client -connect 도메인:포트 -tls1_2               // TLS 1.2 테스트

     $ openssl s_client -connect 도메인:포트 -ssl3                   // SSL 3.0 테스트

 

  • 사용 브라우저 SSL/TLS 지원 테스트 사이트  

      https://www.ssllabs.com/ssltest/viewMyClient.html

 

  • 웹서버 SSL/TLS 지원 테스트 사이트  

      https://www.cdn77.com/tls-test

 

2.  HTTPS

HTTP(Hypertext Transfer Protocol) 는HTML과 같은 하이퍼미디어 문서를 전송하기 위한 응용 프로그램 계층 프로토콜입니다. 웹 브라우저와 웹 서버 간의 통신을 위해 설계되었지만 다른 용도로도 사용할 수 있습니다

HTTPS(Hypertext Transfer Protocol Secure)는 HTTP 프로토콜의 보안을 강화하기 위해 HTTP 요청 및 응답을 암호화하고 해당 요청 및 응답에 디지털 서명한다는 것입니다. 결과적으로 HTTPS는 HTTP보다 훨씬 더 안전합니다. HTTP를 사용하는 웹사이트는 URL에 http://가 있고 HTTPS를 사용하는 웹사이트에는 https://가 있습니다.

 

암호화에 사용하는 프로토콜에 따라 " HTTP over TLS" 또는 "HTTP over SSL" 이라고도 합니다