모질라 파이어폭스 TLS 1.0, TLS 1.1 비활성화 준비 중

오늘은 모질라 파이어폭스 TLS 1.0, TLS 1.1 비활성화 준비 중이라는 소식입니다. 일단 해당 기능은 Firefox Nightly에게서만 지원하고 있으며 TLS 1.0, TLS 1.1을 비활성화하는 시간은 2020년에 해당 프로토콜을 비활성화한다는 계획입니다. 일단 TLS는 Transport Layer Security의 약자이며 인터넷에서의 정보를 암호화해서 송수신하는 프로토콜. 넷스케이프 사가 개발한 SSL(Secure Sockets Layer)에 기반을 둔 기술이며 국제 인터넷 표준화 기구에서 표준으로 인정받은 프로토콜입니다.

정식 명칭은 TLS지만 아직도 SSL이라는 용어가 많이 사용되고 있습니다.

인터넷을 사용한 통신에서 보안을 확보하려면 두 통신 당사자가 서로 신뢰할 수 있는 자임을 확인할 수 있어야 해야 합니다. 서로 통신 내용이 제삼자에 의해 도청되는 것을 방지해야 하는 것이 포인트입니다. 그래서 서로 자신을 신뢰할 수 있음을 알리려고 전자 서명이 포함된 인증서를 사용하며 도청을 방지하기 위해 통신 내용을 암호화합니다. 해당 통신 규약을 묶어 정리한 것이 바로 TLS.이며 주요 웹브라우저 주소창에 자물쇠 아이콘이 뜨는 것으로 TLS의 적용 여부를 확인할 수가 있습니다.
TLS 1.0: 1999년도에 SSL 3.0의 업그레이드 버전으로 공개되었으며 SSL 3.0과 큰 차이가 있는 것은 아니며, SSL 3.0이 가지는 대부분의 취약점이 해결된 것이 특징이며 기본적으로 SHA1 알고리즘을 사용하지만, 보안을 위해 SHA256도 지원하도록 변경된 일도 있습니다.
일단 Windows XP와 Windows Vista에서 지원하는 마지막 버전으로 Windows XP는 SHA1 알고리즘만을 지원하지만 윈도우비스타는 SHA256 알고리즘도 지원하도록 변경되었습니다.
TLS 1.1: 2006년 4월에 공개되었으며 암호 블록체인 공격에 대한 방어와 IANA 등록 파라메터의 지원이 추가되었습니다.

Firefox Nightly security.tls.version.min

IETF는 TLS 1.0과 1.1이 너무 오래됨에 따라 국제 인터넷 표준화 기구(IETF)의 TLS 표준에서 구 버전에 대한 호환을 고려한 부분을 파기하는 안을 심사하고 있었고 브라우저들은 2020년까지 TLS 1.0과 1.1의 지원을 중단하기로 하였으며 구글 Chrome은 72버전부터 TLS 1.0, 1.1에 대해 개발자 도구에서 경고를 표시하며 구글 Chrome 81버전에서 지원을 삭제할 예정이며 파이어폭스나 마이크로소프트 엣지, 인터넷 익스플로러, 사파리는 2020년 초에 지원을 중단할 예정입니다.
TLS 1.2: 2008년도 8월에 공개된 TLS의 최신 버전이며 취약한 SHA1 해시 알고리즘을 완전히 버리고 SHA256만을 사용하도록 변경되었습니다.
TLS 1.3: 2018년 8월 10일 RFC 8446으로 게시되었고 서버에서 인증서를 암호화하여 전달하도록 개선되었고 최초 연결 시에 암호화 통신을 개시하는 절차를 간소화하여 성능을 향상하였으며 그 밖에 오래된 암호화 기술 등을 폐기하였고 TLS 1.2도 충분히 안전하지만 지금 바로 업그레이드를 진행을 해야 하는 것은 아니지만, 최근에 한국정부에서 인터넷검열에 사용한 SNI 필드 암호화 확장 규격까지 합치면 평문으로 전송되는 부분이 아예 없어지기 때문에 인터넷 검열 등에 대항하는 사이트들은 업데이트를 빨리 진행을 할 것으로 보입니다. 즉 SNI 필드 검열은 TLS 1.3 버전을 사용하거나 VPN 등을 사용하면 무력화됩니다.

SNI 필드에 대한 암호화 규격이 들어갈 예정이었으나 표준에는 포함되지 않았고, TLS 1.3 확장 기능으로써 Apple, Mozilla, Cloudflare, Fastly가 함께 Enctypted SNI(ESNI)에 관한 초안을 개시하였으며 파이어폭스에서는 해당 기능을 활성화해서 사용을 할 수가 있습니다.

즉 TLS(Transport Layer Security)는 인터넷 트래픽을 암호화하는 데 사용되는 보안 프로토콜이라고 생각을 하시면 됩니다.

오류 코드: SSL_ERROR_UNSUPPORTED_VERSION

기본적으로 SSL Labs 테스트 사이트에서 확인할 수가 있습니다. TLS 1.0, TLS 1.1을 지원하지만 TLS 1.2 이상을 지원하지 않는 사이트는 로드에 실패하고 대신 보안 연결 실패 오류가 발생합니다. 오류 내용은 다음과 같습니다.
보안 연결 실패
tls-1-1.badssl.com:1011에 접속하는 중에 오류가 발생했습니다. 상대방이 지원하지 않는 보안 프로토콜 버전을 사용합니다.
오류 코드: SSL_ERROR_UNSUPPORTED_VERSION
받은 데이터의 내용 사실 검증을 할 수 없어서 보려고 시도하신 페이지를 보여 드릴 수 없습니다.
웹 사이트 관리자에게 현재 문제를 알려 주십시오.
더 알아보기…
This website might not support the TLS 1.2 protocol, which is the minimum version supported by Nightly. Enabling TLS 1.0 and TLS 1.1 might allow this connection to succeed.
TLS 1.0 and TLS 1.1 will be permanently disabled in a future release.

파이어폭스 69.0.1 security.tls.version.min

Firefox 사용자는 현재 다음과 같은 방식으로 제한을 무시할 수 있지만 2020년 초 Firefox Stable에서 변경 사항이 적용되면 해당 옵션이 없어질 수가 있습니다.
웹 브라우저의 주소 표시 줄에 about :config를 열어줍니다. 경고 메시지가 나오는데 그냥 무시하고 들어갑니다. 그리고 나서 security.tls.version.min을 검색하며 기본 설정의 기본 값은 3으로 설정되어 있으므로 Firefox는 TLS 1.2 이상만 허용하며 TLS 1.1에 대한 지원을 추가하려면 값을 2로 변경하고 TLS 1.0에 대한 지원을 추가하려면 1로 변경하시면 됩니다.
참고로 파이어폭스 69.0.1 에서는 security.tls.version.min 값은 1로 돼 있습니다. 해당 부분은 차후 업데이트가 되면 변경이 될 것입니다. 오늘은 이렇게 모질라 파이어폭스 TLS 1.0, TLS 1.1 비활성화 준비 중이라는 것에 대해 알아보았습니다.