TLS의 초기 버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약하며 프로토콜 취약점으로 인한 세션 하이제킹이 발생할 수 있습니다.

- POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점

구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점

- BEAST(Browser Exploit Against SSL/TLS) 취약점

클라이언트 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점

지원이 중단되면 해당 프로토콜만 사용 시 최종 클라이언트들은 HTTPS로 접속이 불가한 경우가 발생되며

서비스에 영향을 줄 수 있습니다.

인증서는 프로토콜 버전을 조정하거나 제약할 수 없습니다. 프로토콜은 오직 서버 설정 및 사양에 따라 이루어집니다. 

마찬가지로 발급에 따라서 TLS 용 인증서가 따로 있지는 않습니다.

서버에서는 적용이 확인이 되었지만, 클라이언트나 SSL LABS에서는 활성화가 되지 않은 것을 확인할 수도 있습니다.

이는 망 구성도에서 웹 방화벽이 존재할 경우 나타날 수 있습니다.

서버에서는 바뀌었지만, 클라이언트 같은 외부 접속자는 웹 방화벽을 거치게 되므로 웹 방화벽 장비의 설정을 볼 수도 있습니다.

프로토콜 적용 후에는 어떤 서버이든 재 시작이 필요합니다. 다만, IIS를 제외한 서버는 웹 서버만 재 시작을

하면 됩니다. IIS 같은 경우 레지스터리를 수정해야 함으로 서버 자체를 재 시작 해야 합니다.

적용 후 확인 방법은 보통 리눅스 계열의 경우 서버에서 아래의 명령어로 확인이 가능합니다

openssl s_client -connect 127.0.0.1:443 -tls1_2

위 명령어로 CONNECTED(00000003) 이 확인이 되면 됩니다.

Webtob의 경우는 아래의 명령어로 확인 가능합니다.

wbssl s_client -connect 127.0.0.1:443 -tls1_2

그 밖에는 아래의 사이트에서 TLS 적용을 확인 할 수 있습니다.

https://www.ssllabs.com/

사이트에 접속 후 아래의 방법대로 진행하시면 됩니다.

1. Test your Server 클릭

2. 도메인을 입력합니다. 

3. 지원되고 있는 버전을 확인 합니다.

프로토콜에 경우 인증서와는 무관하게 웹 서버 버전과 Openssl, Java 버전과 관련이 있습니다.

위 버전이 낮을 경우 TLS 1.2 지원이 불가 할 수 있습니다.

아래와 같이 주의사항에 대해 말씀드립니다.

1. 아파치, Nginx, Webtob 등의 경우 프로세스 재시작으로 적용이 가능합니다. 

   (IIS의 경우 서버 전체를 재시작해야 합니다.)

2. 설정이 잘못되었을 경우 재시작을 해도 가동되지 않을 수 있습니다. 사전에 백업 설정 파일을 만드셔야 합니다.

3. 프로토콜 적용 후에 낮은 사양의 OS를 사용하는 고객은 접속이 불가할 수 있습니다.

4. 높은 버전의 프로토콜 및 알고리즘의 경우 웹 서버 사양을 확인하셔야 합니다.

   (버전의 경우 일부 회원에 한하여 가이드를 제공합니다.)

프로토콜의 경우 아래의 URL에서 확인이 가능합니다.

단, 443 포트일 경우에만 확인이 가능합니다.

https://www.ssllabs.com/

1. https://www.ssllabs.com/ 에 접속

2. 도메인을 기재하도록 합니다.

3. 프로토콜 결과를 확인하도록 합니다.