주요 웹브라우져/OS 개발사에서 공지한 사항으로, 보안 취약점이 있는 SSL v2, v3 프로토콜 TLS 1.0 및 TLS 1.1 암호화 프로토콜 버젼을 지원을 완전히 중단합니다. 일정은 대략 2020년 상반기 이며, 해당 지원이 중지 되면 SSL/TLS 하위 프로토콜 버젼이 기본 작동하지 않게 됩니다.
즉 TLS 1.2 가 기본 활성화 되어 있지 않은 웹브라우져/웹서버 에서는 SSL 인증서가 적용된 https:// 보안 접속시 지원 가능한 SSL 프로토콜 버젼이 제공되지 않아서 SSL 웹사이트 접속이 불가능해 질수 있습니다.
예) 구글 크롬 81 부터는, TLS 1.2 이하로 접속될때 웹페이지 대신 크롬 경고 화면이 표시됩니다. (링크 내용 참조)
https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html
Chrome, Firefox, Edge, Safari, Explorer 를 포함한 주요 웹 브라우저 및 Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기 까지 TLS1.0 및 TLS1.1 지원을 완전히 삭제 예정이라고 공지된 상태입니다.
[관련문서]
https://tools.ietf.org/id/draft-moriarty-tls-oldversions-diediedie-00.html
https://www.chromestatus.com/feature/5654791610957824
https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/
[조치/점검 사항]
클라이언트 => 최신 웹브라우져/OS 로 업그레이드 해야 하며, Windows XP 등 오래된 PC는 최신 OS 로 업그레이드/교체를 해야 합니다. TLS 1.2 가 지원되지 않는 안드로이드 스마트폰은 기기 자체를 최근 모델로 교체를 하는게 좋습니다.
서버/라이브러리 => 웹서버의 SSL/TLS 프로토콜 설정에서 TLS 1.2 접속 허용은 절대 필수로 되어 있어야 하며, 그외 SSL v2, v3, TLS 1.0 1.1 은 암호화 모듈 설정에서 접속 해제 설정을 권장합니다. TLS 1.2 를 지원하지 않는 서버 OS/웹서버 버젼은 업그레이드/교체를 해야만 가능합니다.
▶ User Agent Capabilities List
https://www.ssllabs.com/ssltest/clients.html
▶ SSL/TLS Capabilities of Your Browser Test
https://www.ssllabs.com/ssltest/viewMyClient.html
▶ TLS 1.0 1.1 1.2 1.3 Protocol Compatibility (Browsers, Desktop, Mobile, Servers, Libraries)
https://support.globalsign.com/customer/portal/articles/2934392-tls-protocol-compatibility
▶ moz://a SSL Configuration Generator
https://ssl-config.mozilla.org/
▶ Cipherli.st - Strong Ciphers for Apache, nginx and Lighttpd & Other Software
https://cipherli.st/
▶ How to Enable TLS 1.2 on Windows Server 2008 R2 and IIS 7.5
https://tecadmin.net/enable-tls-on-windows-server-and-iis/
SSL 인증서와 직접적으로 관련없는 OS/웹브라우져 자체 이슈입니다. 각 OS/웹브라우져 제조사에서 권장하는 방법에 따라 미리 조치해야 합니다. 이와 관련된 추가 궁금하신 사항은 이용하시는 웹브라우져/OS 고객센터에 문의 해보시기 바랍니다.
[주요오류]
웹브라우져 또는 서버간 통신에서 SSL/TLS 프로토콜이 호환되지 않을때 아래와 같은 오류가 발생할수 있습니다. (웹브라우져별로 상태 메시지 표시가 버젼별로 조금씩 차이가 있으나 대부분 비슷)
ERR_SSL_PROTOCOL_ERROR
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
SSL_ERROR_NO_CYPHER_OVERLAP
이 페이지를 표시할 수 없습니다. [고급] 설정에서 TLS 1.0, TLS 1.1 및 TLS 1.2.......
Internet Explorer에서 웹 페이지를 표시할 수 없습니다
ERR_SSL_WEAK_EPHEMERAL_DH_KEY
ERR_SSL_OBSOLETE_CIPHER
ERR_SSL_VERSION_INTERFERENCE
SSPI를 호출하지 못했습니다. 내부 예외를 참조하십시오.
함수에 제공된 토큰이 올바르지 않습니다.
예기치 않은 메시지를 받았거나 메시지의 형식이 잘못되었습니다.
예기치 않은 패킷 형식으로 인해 핸드셰이크가 실패했습니다.