TLS 1.0, 1.1 지원 삭제 (2020년 완료 예정)

Chrome, Edge, IE, Firefox, Safari 주요 웹브라우져 TLS 1.0, 1.1 지원 삭제 (2020년 완료 예정) 

주요 웹브라우져/OS 개발사에서, 보안 취약점이 있는  SSL v2, v3 프로토콜  TLS 1.0 및 TLS 1.1 암호화 프로토콜 버젼을 지원을 완전히 중단합니다. 일정은 대략 2020년 상반기 이며 (그 이전 2019년내에 반영이 완료될것으로 예상) , 해당 지원이 중지 되면 SSL/TLS 하위 프로토콜 버젼이 작동하지 않게 됩니다.

즉  TLS 1.2 가 기본 활성화 되어 있지 않은 웹브라우져에서는 SSL 인증서가 적용된 https:// 보안 접속시 지원 가능한 SSL 프로토콜 버젼이 제공되지 않아서 SSL 웹사이트 접속이 불가능해 질수 있습니다.

Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저 및  Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기 까지 TLS1.0 및 TLS1.1 지원을 완전히 삭제 예정 입니다.

 

[관련문서]

https://tools.ietf.org/id/draft-moriarty-tls-oldversions-diediedie-00.html
https://www.chromestatus.com/feature/5654791610957824
https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/

 

[조치사항]

클라이언트 : 최신 웹브라우져/OS 로 업그레이드 해야 하며, Windows XP 등 오래된 PC는 최신 OS 로 업그레이드/교체를 해야 합니다. TLS 1.2 가 지원되지 않는 안드로이드 스마트폰은 기기 자체를 최근 모델로 교체해야 합니다.

웹서버 : 웹서버에서 SSL 인증서 설정 적용시에는, TLS 1.2, 1.3 만 허용 설정해야 하며, 그외 SSL v2, v3, TLS 1.0 1.1 은 암호화 모듈 설정에서 해제 설정을 적용해야 합니다.  TLS 1.2 를 지원하지 않는 서버 OS/웹서버 버젼은 업그레이드/교체를 해야 합니다.

- User Agent Capabilities List : https://www.ssllabs.com/ssltest/clients.html
- SSL/TLS Capabilities of Your Browser Test : https://www.ssllabs.com/ssltest/viewMyClient.html

 

[주요오류]

웹브라우져 또는 서버간 통신에서 SSL/TLS 프로토콜이 호환되지 않을때 아래와 같은 오류가 발생할수 있습니다. (웹브라우져별로 상태 메시지 표시가 버젼별로 조금씩 차이가 있으나 대부분 비슷)

ERR_SSL_PROTOCOL_ERROR
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
SSL_ERROR_NO_CYPHER_OVERLAP
이 페이지를 표시할 수 없습니다.  [고급] 설정에서 TLS 1.0, TLS 1.1 및 TLS 1.2.......
Internet Explorer에서 웹 페이지를 표시할 수 없습니다
ERR_SSL_WEAK_EPHEMERAL_DH_KEY
ERR_SSL_OBSOLETE_CIPHER
ERR_SSL_VERSION_INTERFERENCE
SSPI를 호출하지 못했습니다. 내부 예외를 참조하십시오.
함수에 제공된 토큰이 올바르지 않습니다.
예기치 않은 메시지를 받았거나 메시지의 형식이 잘못되었습니다.
예기치 않은 패킷 형식으로 인해 핸드셰이크가 실패했습니다.

https://www.securesign.kr/guides/kb/49