마지막 수정 날짜 : 2018년 5월 31일

내 서버에서 조만간 TLSv1 및 TLSv1.1 지원을 중단하기로 결정했다.

내용 추가 (2018/05/31) : 서버 로그에 version too low 하고 unsupported protocol 가 너무 많이 떠서 일단 원상복귀 처리했다. 하지만 언제 다시 비활성화 할 진 모름.

물론 PCI DSS 3.2 기준으로는 2018년 6월 30일부터 지원을 중단1하는 것을 권고하고 있지만, 나는 조금 더 일찍 지원을 중단하기로 했다.

What happens on 30 June 2018?

30 June 2018 is the deadline for disabling SSL/early TLS and implementing a more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for safeguarding payment data.

– 내용 출처 : https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls

대한민국의 패킷 검열에 대응하기 위한 하나의 수단으로 내 서버에도 TLSv1.3 이 적용되어 있지만, 구 버전에 대한 지원을 중단하지 않았었다.
하지만 보안을 위해서, 그리고 PCI DSS 기준에 맞게 2018-05-312018-05-17 (GMT +09:00)2 이후로 내 서버에는 TLSv1 및 TLSv1.1 지원을 하지 않기로 했다.

위 기한3 이후에는 내 사이트(?)에 접속할 때는 TLSv1.2 혹은 TLSv1.34 에서만 접속이 가능하다.
– 2018-05-17 12:33 (GMT +09:00) TLSv1, TLSv1.1 비활성화 완료.

nginx-build 소스는 2018-05-20 이후 git pull 을 하게 되면 TLSv1 및 TLSv1.1 에 대한 내용이 삭제5된다.
– 2018-05-19 01:53 (GMT +09:00) 설정 완료.

  1. 정확히는 2018년 6월 30일 전에 중단해도 상관은 없다. ↩
  2. 조금 더 빨리 시행한다. 원래는 2018-05-31 시행하려 했으나, 시행 시기를 더 앞당겼다. ↩
  3. 2018-05-17 (GMT +09:00) ↩
  4. 2018-05-15 기준 draft 23, 크롬 66.0.3359.170 / 파이어폭스 60.0 지원 ↩
  5. 단, 본인이 직접 설정할 순 있다. ↩

Related posts:

  1. TLSv1, TLSv1.1 다시 활성화(…)
  2. TLS(SSL) 1.3 에 대해서
  3. 네이버 글쓰기는 아직도 SSL 인식 제대로 못 함
  4. 인증서를 변경했다. (Let’s Encrypt) + OCSP Must Staple 적용
  5. 대한민국의 패킷(웹) 검열 사태에 대해
  6. Cloudflare 의 Flexible SSL 이 안전하지 않은 이유

태그: