포스팅 내용

국내외 보안동향

크롬, 파이어폭스, 엣지, 사파리, 2020년부터 TLS 1.0, 1.1 지원 중지할 예정이라 밝혀

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020


구글 크롬, 애플 사파리, 마이크로소프트 엣지, 인터넷 익스플로러, 모질라 파이어폭스를 포함한 모든 메이저 웹 브라우저들이 TLS 1.0 (20년 됨), TLS 1.1 (12년 됨) 통신 암호화 프로토콜에 대한 지원을 곧 종료할 것이라 밝혔습니다.


초기에 SSL(Secure Sockets Layer) 프로토콜로 개발 된 TLS(Transport Layer Security)는 클라이언트와 서버 간의 통신 채널을 보호하고 암호화 하기 위해 사용하는 업데이트 된 암호화 프로토콜입니다.


현재 TLS는 1.0, 1.1, 1.2, 1.3(최신)로 총 4개 버전이 있습니다. 이들 중 구 버전인 1.0과 1.1은 POODLE, BEAST 등과 같은 여러 공격에 취약한 것으로 알려져 있습니다.


모든 메이저 웹 브라우저 및 어플리케이션에 구현 된 TLS는 다운로드 협상 프로세스를 지원하기 때문에, 서버가 최신 버전을 지원 하더라도 공격자가 취약한 프로토콜을 악용할 수 있는 여지를 남깁니다.



모든 주요 웹 브라우저들, 2020년 TLS 1.0 및 1.1 지원 종료 예정


구글, 마이크로소프트, 애플, 모질라의 보도 자료에 따르면 이들의 웹 브라우저는 2020년 상반기에 TLS 1.0과 1.1의 지원을 완전히 종료할 예정입니다.


아직까지 개발 단계에 있는 TLS 1.3이 공개 되지 않는 한, TLS 1.0과 1.1의 약점을 해결하기 위해 10년 전 출시 된 TLS 1.2가 디폴트 TLS 버전이 될 것입니다.


마이크로소프트에 따르면, 많은 웹사이트들이 이미 TLS 1.0에서 새로운 버전으로 업그레이드 한 상태입니다. 현재 94%의 사이트들이 이미 TLS 1.2를 지원하며, 엣지 브라우저의 일일 접속 사이트 중 1% 이하의 사이트들만이 TLS 1.0이나 1.1을 사용하고 있습니다.


마이크로소프트는 “최신 버전으로 전환할 경우 모두에게 더 안전한 웹 환경을 제공할 수 있게 됩니다.

또한 IETF는 올해 안으로 공식적으로 TLS 1.0, 1.1을 추천하지 않을 것이라 생각 되며, 그렇게 되면 IETF 측은 이 프로토콜 버전들의 취약점을 더 이상 수정 하지 않을 것입니다.”고 밝혔습니다.


애플 또한 자사 플랫폼에서 TLS 1.2를 표준으로 사용할 것이라 밝혔습니다. 또한 사파리에서 발생하는 TLS 연결 중 99.6%가 TLS 1.2를 사용하며, 0.36 퍼센트 이하가 TLS 1.0, 1.1을 사용한다고 밝혔습니다.


구글 또한 크롬의 HTTPS 연결 중 0.5퍼센트만이 TLS 1.0, 1.1을 사용한다고 밝히며 이에 동의했습니다.


모든 기술 회사들은 TLS 1.2 또는 이후 버전을 지원하지 않는 웹사이트들에 프로토콜 구버전 사용을 중단하기를 권장했습니다.

게다가 PCI DSS(Data Security Standard)를 준수하기 위해서 웹사이트들은 2018년 6월 30일까지 SSL/TLS 1.0 구현을 비활성화 해야 할 것이라 밝혔습니다.


이들 외에 Gitlab 측에서도 2018년 말 웹사이트 및 API 인프라에서 TLS 1.0 및 1.1의 지원을 종료하겠다고 금일 발표했습니다.




구글 크롬에서는 설정 > 고급 설정 > 프록시 설정 열기 > ‘고급’ 탭 > ‘보안’ 섹션에서 TLS 1.0 사용, TLS 1.1 사용 체크박스를 해제해 수동으로 TLS 구버전을 비활성화 할 수 있습니다.


 


출처 :

https://thehackernews.com/2018/10/web-browser-tls-support.html



티스토리 방명록 작성
name password homepage