메드소프트
-
학회시스템
SSL/TLS 보안 인증서 반드시 적용하셔야 합니다.
2024.10.07
SSL/TLS 예시 이미지
운영하고 있는 홈페이지가 있으신가요? 그렇다면 반드시 적용되어야 하는 SSL/TLS 보안 인증에 대해 알고 있어야 합니다.
#SSL/TLS 보안 인증
SSL/TLS 란 무엇인가?
SSL 이란 Secure Socket Layer의 약자로, 보안 소켓 레이어라고 하며 좀 더 직역하자면 암호화 소켓층이라고 할 수 있습니다.
이는, 웹서버와 클라이언트 간의 데이터 암호화를 위한 표준 규약입니다.
* 현재 표준 명칭은 TLS (Transport Layer Security : 전송 계층 보안) 이 맞습니다.
#SSL/TLS 보안 인증
위키백과에서는 아래와 같이 정의하고 있습니다.
컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약이다. 그리고 '트랜스포트 레이어 보안'이라는 이름은 '보안 소켓 레이어'가 표준화되면서 바뀐 이름이다. 이 규약은 인터넷같이 TCP/IP 네트워크를 사용하는 통신에 적용되며, 통신 과정에서 전송계층 종단 간 보안과 데이터 무결성을 확보해 준다. 이 규약은 웹 브라우징, 전자 메일, 인스턴트 메신저, voice-over-IP (VoIP) 같은 응용 부분에 적용되고 있다. 국제 인터넷 표준화 기구(IETF)에 의해 현재 구식(deprecate)으로 간주되어 있다. 최종 갱신은 RFC 5246이고, 최종 갱신 버전은 넷스케이프에서 만든 SSL 표준을 바탕으로 했다.
#위키백과 SSL/TLS
SSL/TLS 적용해야 하는 이유!
사용자가 서버에 보내는 데이터가 그대로 노출되는 방지하기 위함입니다.
SSL/TLS 적용을 하게 되면, 웹으로 네트워크 통신하는 과정에서 도청, 간섭, 위조 방지를 하게 되어 암호화로 인증, 통신 기밀성이 보장됩니다.
#SSL/TLS 적용 이유
SSL/TLS 인증서 발급 대상
SSL 인증서는 특정 소유자에게 권한 확인이 가능한 FQDN(Fully Qualified Domain Name : 정규화된 도메인 이름) 을 대상으로만 발급이 가능합니다.
이러한 이유로, IP 주소는 글로벌 공용 자산으로, 특정인에게 소유가 할당되어 있지 않기 때문에, SSL 인증서 발급이 불가합니다.
#SSL/TLS 인증서 발급 제한
SSL/TLS 예시 이미지
SSL/TLS 적용 사전 구성 환경
일반적으로 많이 사용되는 웹서버에는 아래의 공통적인 구성 환경이 적용되어 있어야 합니다.
-
-
TLS 1.2 지원 필수
-
SHA-2(SHA256) 암호화 지원 모듈 구성/활성 확인 필수
-
SNI(Server Name Indication, 서버 이름 표시) 기능 OS/웹서버 운영/활성화 권장
-
MD5, RC4 등 국제 보안 기구에서 해제를 권장하는 취약 암호화 모듈 비활성화
-
SSL 2.0, 3.0 및 TLS 1.0 1.1 취약 프로토콜 해제. 최신 TLS 1.2 1.3 접속 설정 권장
-
#SSL/TLS 적용 환경
SSL/TLS 인증서 발급 과정
개인키(Private Key) 생성 ➜ CSR(Certificate Signing Request) 생성 ➜
인증서 발급 신청 제출 ➜ 인증서 발급 완료 ➜ 인증서 설치 적용 ➜
서버 정상 적용 완료 테스트 ➜ 웹페이지에 https:// 링크 적용
* 개인키, CSR는 서버관리자 권한이 있는 경우, 해당 서버에서 직접 생성할 수 있지만, 일반적으로 SSL/TLS 인증서 발급 기관에서 생성 지원을 하고 있습니다.
#SSL/TLS 인증서 발급
DCV (Domain Control Validation : 도메인 권한 유효성 검증)
SSL/TLS 인증서를 받기 위해서는 DCV 절차가 반드시 필요하며, 일반적으로 EMAIL 인증, HTTP/s 인증, DNS 인증 방식 중 한 가지를 선택합니다.
#DCV (Domain Control Validation : 도메인 권한 유효성 검증)
SSL/TLS 인증서 파일 적용
1. 일반적인 적용 방법
SSLCertificateKeyFile /인증서파일경로/개인키
SSLCertificateFile /인증서파일경로/서버인증서
SSLCertificateChainFile /인증서파일경로/체인인증서
SSLCACertificateFile /인증서파일경로/루트인증서
2. 지원 서버 환경에 따라 루트+체인 통합
SSLCertificateKeyFile /인증서파일경로/개인키
SSLCertificateFile /인증서파일경로/서버인증서
SSLCACertificateFile /인증서파일경로/루트+체인 통합 파일
#SSL/TLS 인증서 적용
SSL/TLS 인증서 파일 형식
-
PEM (Base64 Text) ➜ Apache, NginX, Node.js, Tomcat 등 PEM 파일 적용 기반 웹서버에 적용
-
PFX (PKCS#12) ➜ IIS, Tomcat 등 .pfx 파일 지원 웹서버에 적용
-
JKS (JavaKeyStore) ➜ Tomcat, Jboss 등 Java 기반의 .jks 파일 지원 웹서버에 적용
#SSL/TLS 인증서 파일
SSL/TLS 인증서 유효 확인 단계
웹브라우저 ➜ 서버인증서 ➜ 체인(중개인증서) ➜ 루트인증서
#SSL/TLS 유효 확인
SSL/TLS 인증서 적용 시 유의사항
기본적으로 웹서버/OS에서는 SSL에 사용할 [1개 포트 : 1개 인증서]만 적용이 가능한 구조입니다.
하지만, SNI(Server Name Indication : 서버 이름 표시)라는 최근 기술을 이용하여 443 포트 1개에 여러 개 인증서 동시 개별 적용 가능하게 합니다.
SNI의 가장 큰 장점은, 한 서버에 여러 개의 개별 인증서 적용 시, 각각 인증서마다 각각 포트를 분리해야 하는 불편한 점이 없어진다는 것입니다.
또한, 아래와 같이, 하나의 서버에 여러 유형의 도메인 적용을 할 수 있게 됩니다.
오래된 서버/클라이언트 버전에서는 지원되지 않습니다.
-
서버 최소 환경
Apache 2.2.12 이상 (OpenSSL v0.9.8j+)
Microsoft IIS 8 이상 (IIS 사이트 도메인 설정에서 '서버 이름 표시' 체크 항목)
Tomcat 8.5 이상
-
사용자 최소 환경
Vista + Internet Explorer 7부터 지원
#SSL/TLS 유의사항
SSL/TLS 인증서 유형
-
-
Single Domain SSL : domain.kr 또는 www.domain.kr 행태의 1개의 도메인 적용 시 적합 (보안 인증서 발급 기관에 따라서 domain.kr 와 www.domain.kr 을 한 번에 지원하기도 합니다.)
-
Wildcard SSL : www.domain.kr, user.domain.kr, admin.domain.kr 형태의 도메인 적용 시 적합
-
Multi Domain SSL : domain1.kr, domain2.kr, domain3.kr 형태의 도메인 적용 시 적합
-
#SSL/TLS 인증서 유형
SSL/TLS 적용 확인
SSL/TLS 보안 인증서 적용을 하게 되면 URL은 “https://도메인”으로 시작하게 됩니다.
HTTPS는 웹 통신 프로토콜인 HTTP의 보안이 강화된 버전으로, TLS 인증서를 통해 세션 데이터를 암호화하여, 데이터의 적절한 보호를 하게 됩니다.
HTTPS의 기본 TCP/IP 포트는 443입니다.
URL 앞에 자물쇠 아이콘이 생성되며 클릭 시 SSL 인증서를 확인할 수 있습니다.
SSL/TLS 미적용 URL 접근 시 화면
#SSL/TLS 적용 확인
지금 당장 자주 방문하는 사이트나 운영하고 있는 사이트에 접속하여 “주의 요함” 또는 “안전하지 않음”으로 표시되고 있다면, 사이트 관리자에게 반드시 알려주어야 합니다.
최근 들어, SSL/TLS 보안 인증이 되어있지 않은 사이트에 접속 시 사용자 환경에 따라서는 PC 와 모바일에서 콘텐츠가 정상적으로 보이지 않거나, 오픈 API 서비스, 전자결제(PG) 서비스를 이용할 수 없을 수 있습니다.
SSL/TLS 보안 인증이 적용된 사이트는 검색엔진에서 적용하지 않은 사이트보다 상단에 노출되는 효과가 있습니다.
메드소프트는 10년 이상의 풍부한 홈페이지 제작 경험을 가지고 있습니다.
SSL/TLS 보안 인증 적용은 메드소프트에서 제작되는 홈페이지에는 처음 1년 무료 제공해 드리고, 인증서 신규 신청, 이전 및 갱신 지원을 하고 있습니다.
뿐만 아니라, 인증서 만료일 일정 기간 전에 고객에게 안내하여, 홈페이지가 안전하고 원활하게 유지될 수 있도록 최선을 다하고 있습니다.