Seonglae ChoTLS 1.0은 SSL 3.0의 업그레이드 버전으로, 1999년 1월 RFC 2246에 정의되었습니다.PCI Council에서는 2018년 6월 30일 이전에 TLS 1.0에서 TLS 1.1이상의 버전으로 업그레이드 할 것을 제안했습니다.(PCI DSS 영향을 받는 서비스들은 2018.06.30 이전까지 TLS 1.1 이상(권장 TLS 1.2)의 버전으로 업그레이드 해야 합니다.)
- 개선된 점
- 시퀀스 번호를 사용해 어플리케이션 레코드들을 넘버링하고, 이 시퀀스 번호를 MAC(메시지 인증코드)에서 사용.
- 메시지 인증에 HMAC을 사용.(SSL 3.0에서는 다른 해쉬기반의 MAC을 사용했음) → Length extension attack에 안전.
- 문제점
- TLS 1.0은 SSL 3.0으로 다운 그레이드 할 수 있는 방법이 있었기에, 보안성을 약화시킬 수 있었음
HTTPS - 3. SSL/TLS History and Security
그림으로 살펴보는 포스팅을 시작으로, 3편의 포스팅을 통해 HTTPS에 대해서 알아보겠습니다. 이전 포스팅을 읽어보시지 않으셨다면, 읽어보시는 것을 추천드립니다! 이번 글에서는 SSL 2.0 ~ TLS 1.3까지의 변화를 간략하게 살펴봅시다! SSL 규약은 처음에 Netscape가 개발하여 2.0버전부터 공식 릴리즈되었습니다. 이후 SSL 2.0의 보안문제들을 개선한 SSL 3.0가 릴리즈되고, TLS 3.0을 기반으로 TLS 1.0이 개발되었습니다.
https://dokydoky.tistory.com/464?category=377272
