85만개 이상의 웹사이트들이 여전히 오래된 TLS 1.0과 1.1 프로토콜을 사용하고 있지만, 대부분의 주요 브라우저들이 이번 달 말 이들에 대한 지원을 제거하기로 했다.
영국 넷크래프트(Netcraft)가 5일 발표한 보고서에 따르면 여기에는 주요 은행, 정부, 뉴스 기관, 통신, 전자 상거래 상점 및 인터넷 커뮤니티 웹사이트가 포함된다.
이들 웹사이트는 모두 HTTPS를 사용하지만, 이들은 취약한 버전인 TLS 1.0 및 TLS 1.1 프로토콜로 구축된 암호화 인증서를 통한 HTTPS 연결을 지원한다.
이 둘은 각각 1996년과 2006년에 발표된 오래된 프로토콜이다. 이 프로토콜은 지난 20년 동안 공개된 BEAST, LUCKY 13, SWEET 32, CRIME, POOLDE 같은 일련의 암호화 공격에 취약한 암호화 알고리즘을 사용하고 있다. 이 공격들을 통해 공격자는 HTTPS를 해독하고 사용자의 일반 텍스트 웹 트래픽에 접근할 수 있다.
이 프로토콜들의 새로운 버전은 2008년에 나온 TLS 1.2, 2017년에 나온 TLS 1.3으로 둘 다 TLS 1.0과 TLS 1.1의 우수하고 더 안전하다.
2018년 봄에 TLS 1.3이 출시된 후 4개의 브라우저 제조업체(애플, 구글, 모질라, 마이크로소프트)는 2018년 10월에 함께 2020년 초 TLS 1.0 및 TLS 1.1에 대한 지원을 중단할 계획을 발표했다.
작년에 시작된 지원 중단의 첫 단계는 브라우저가 URL 주소 표시줄 및 잠금 아이콘에 "안전하지 않음"을 표시하여 TLS 1.0 및 TLS 1.1을 사용하는 사이트로의 연결이 안전하지 않다는 것을 보여주는 것이었다.
이런 숨겨진 경고 표시는 이달 말부터 사용자가 TLS 1.0 또는 1.1을 사용하는 사이트에 액세스하면 브라우저는 전체 페이지 오류 표시를 보이게 된다.
★정보보안 대표 미디어 데일리시큐!★
