TLS & mTLS

TLS & SSL 모두 서버, 애플리케이션, 사용자 및 시스템 간의 데이터를 암호화하는 통신 프로토콜이다.

네트워크를 통해 연결된 두 당사자를 인증하므로 데이터를 안전하게 교환할 수 있다. 

 

TLS

• 전송계층(TLS)은 인터넷에서 널리 사용되는 암호화 프로토콜이다.이전에 SSL이라고 불렸던 TLS는 클라이언트 - 서버 연결에서 서버를 인증하고 클라이언트와 서버 간의 통신을 암호화하여 외부 당사자가 통신을 감시할 수 없도록 한다
• 전송 계층 보안(TLS)은 인터넷 상의 커뮤니케이션을 위한 개인 정보와 데이터 보안을 용이하게 하기 위해 설계되어 널리 채택된 보안 프로토콜이다. TLS 의 주용 사용 사례는 웹 사이트를 웹 사이트를 로드하는 웹 브라우저와 같이 웹 응용 프로그램과 서버 간의 커뮤니케이션을 암호화하는 것입니다.
• LS는 또한 이메일, 메시지,보이스오버 IP(VoIP) 등 다른 커뮤니케이션을 암호화하기 위해 사용됩니다. 이 문서에서는 웹 애플리케이션 보안에서 TLS의 역할에 주목하겠습니다.

TLS와 SSL의 차이점은 무엇인가?

• TLS는 Netscape가 개발한 SSL(Secure Sockets Layer)이라고 불리는 이전의 암호화 프로토콜에서 발전한 것입니다. TLS 버전 1.0은 SSL 버전 3.1로서 개발을 시작했지만 Netscape와 더 이상 연관이 없음을 명시하기 위해 발표 전에 프로토콜의 이름이 변경되었습니다. 이러한 역사 때문에 용어 TLS와 SSL은 가끔 서로 바꿔서 사용됩니다.

TLS 와 HTTPS의 차이점은 무엇인가?

• HTTPS는 HTTP 프로토콜 상위에서 TLS  암호화를 구현한 것으로 모든 웹 사이트와 다른 웹 서비스에서 사용됩니다. 따라서 HTTPS를 사용하는 웹 사이트는 TLS 암호화를 이용합니다.

비즈니스와 웹 응용 프로그램에서 왜 TLS 프로토콜울 사용하나?

• TLS 암호화는 데이터 유출 및 기타 공격으로부터 웹 애플리케이션을 보호하는 데 도움이 될 수 있습니다. 오늘날 TLS로 보호되는 HTTPS는 웹 사이트의 표준 관행입니다. Google Chrome 브라우저는 점차적으로 비HTTPS 사이트를 엄중 단속했으며, 다른 브라우저도 그 뒤를 따랐습니다. 일상적인 인터넷 사용자들은 HTTPS 자물쇠 아이콘이 없는 웹 사이트를 더욱 경계합니다.

 

---

mTLS 정의

(mTLS)matualTLS는 상호 인증의 방법 중 하나이다. mTLS는 네트워크 연결의 양 극단에서 private key를 가지고 있는지 확인하여 올바른 통신인지 확인합니다. 즉, 서버의 인증서만을 검증하는 일반적인 과정에서 optional 하게 사용할 수  는 client certificate도 함께 검증한다. 

 

 TLS handshake에서는 client에서 server의 인증서를 검증하는 반면, server에서는 client에 대한 별다른 검증을 진행하지 않는다.  mTLS는 server 에서 client에 대한 검증 과정이 추가된 TLS 통신 과정이라고 볼 수 있다. 

 

mTLS 작동 방식

출처 : CLOUDFLARE

1. 클라이언트가 서버에 연결
2. 서버가 TLS 인증서를 제시
3. 클라이언트가 서버의 인증서를 확인
4. 클라이언트가 TLS 인증서를 제시
5. 서버가 클라이언트의 인증서를 확인
6. 서버가 액세스 권한을 부여
7. 클라이언트와 서버가 암호화된 TLS 연결을 통해 정보를 교환

TLS 핸드셰이크 

1. 1. 클라이언트가 서버에 연결
2. 2. 서버가 TLS 인증서를 제시
3. 3. 클라이언트가 서버의 인증서를 확인
4. 4. 클라이언트와 서버가 암호화된 TLS 연결을 통해 정보를 교환

 

 

더 자세한 내용은 아래 블로그 참고! 

https://earth-95.tistory.com/140

 

 

 

출처 cloudfare

https://www.cloudflare.com/ko-kr/learning/ssl/transport-layer-security-tls/