TLS 프로토콜 버전 진단 도구
도메인 이름을 입력하면 TLS 1.0~1.3 각 버전에 대한 지원 여부를 진단합니다. 서버에 더 이상 사용되지 않는 구버전이 여전히 활성화되어 있는지 무료로 확인할 수 있습니다.
사용 팁
- PCI DSS(신용카드 업계 보안 표준)는 2018년부터 TLS 1.0/1.1을 "보안이 불충분한 프로토콜"로 간주하여 비활성화를 의무화하고 있습니다. 결제를 처리하는 사이트는 특히 우선적으로 확인해야 합니다.
- 인증서의 유효기간과 발급자를 확인하는 SSL 인증서 체커와 달리, 이 도구는 서버가 어떤 버전으로 연결을 수락하는지 프로토콜 자체의 설정을 진단합니다. 두 도구를 함께 사용하면 더 완전한 정보를 얻을 수 있습니다.
- TLS 1.0/1.1이 활성화되어 있어도 일반적인 접속이 즉시 중단되지는 않지만, 주요 브라우저가 점차 기본적으로 이를 거부하는 방향으로 나아가고 있으므로 미리 비활성화해 두면 향후 호환성 위험을 줄일 수 있습니다.
- 반대로 TLS 1.2와 1.3이 모두 비활성화되어 있다면 설정 오류일 가능성이 높으며, 최신 브라우저에서 아예 연결하지 못할 수 있으므로 이 경우를 최우선으로 처리해야 합니다.
- 공유 호스팅이나 CDN을 통해 사이트를 운영하는 경우 TLS 버전 설정은 보통 호스팅 제공업체가 관리하므로, 발견된 문제는 해당 업체의 고객지원팀에 문의하세요.
자주 묻는 질문
여담 ― TLS 버전의 진화와 취약점의 역사
TLS의 전신인 SSL은 1990년대 중반 Netscape사가 개발했지만, SSL 2.0과 3.0 모두 근본적인 설계 결함을 안고 있었습니다. SSL 3.0의 후속으로 1999년에 표준화된 TLS 1.0은 일부 구현에서 CBC 모드 암호의 초기화 벡터 처리에 여전히 결함이 있었고, 이는 2011년 발표된 BEAST 공격으로 실제로 증명되었습니다.
2014년에는 SSL 3.0 자체의 설계 결함을 노린 POODLE 공격이 발표되면서, 구조적으로 유사한 TLS 1.0/1.1에 대한 우려도 빠르게 확산되었습니다. 신용카드 업계 보안 표준인 PCI DSS는 2015년 TLS 1.0의 단계적 금지 방침을 발표하고, 2018년 6월 말을 TLS 1.1 이하 버전으로부터의 완전한 전환 최종 기한으로 정했습니다.
2018년에 표준화된 TLS 1.3은 이러한 과거의 취약점을 반영하여 취약점의 온상이 되기 쉬운 암호 스위트(RC4, CBC 모드 블록 암호 등)를 사양에서 제외하고, 핸드셰이크 왕복 횟수도 줄였습니다. 현재 대부분의 주요 브라우저와 서버 소프트웨어는 TLS 1.3을 기본으로 활성화하고 있으며, TLS 1.0/1.1 지원은 이미 종료한 상태입니다.
그럼에도 여전히 오래된 시스템에 의존할 수밖에 없는 서버가 전 세계에 존재하며, TLS 1.0/1.1이 활성화된 채로 방치되는 경우도 드물지 않습니다. 관리자가 스스로는 알아차리기 어려운 서버 설정 상태를 한눈에 확인할 수 있게 해주는 것이야말로 이러한 진단 도구의 존재 가치라 할 수 있습니다.