0%

웹 보안 관련 용어 정리

웹 보안 용어 정리

간만에 보안 쪽 포스팅을 작성하면서 잘 모르거나 처음 들어보는 용어들이 많았습니다.
그래서 간단하게 찾은 용어를 정리하는 포스팅을 할까 합니다.
향후 디테일하게 포스팅 예정입니다.


SSL/TLS

  • 전송 계층 보안(Transport Layer Security)
  • 보안 소켓 레이어(Secure Sockets Layer)는 TLS의 과거 명칭이며, 넷스케이프에서 개발되었습니다.
  • TLS는 SSL 3.0을 기반으로 하며 현재 2008년 발표된 TLS 버전 1.2가 최종
  • 전송 계층 보안이란 이름은 보안 소켓 레이어가 표준화 되면서 바뀐 이름.
  • TCP/IP 네트워크를 사용하는 통신에 적용되며, 통신 과정에서 전송 계층의 종단간 보안과 데이터 무결성을 확보해준다.
  • 주로 웹 브라우징, E-Mail, VoIP(Voice-over-IP) 같은 응용 분야에 적용
  • TLS는 IETF 표준 규약이며 최종 갱신은 RFC 5246이다.
  • 클라이언트/서버 응용 프로그램이 네트워크로 통신을 하는 과정에서 도청, 간섭, 위조를 방지하기 위해 설계
  • 참고

TLS의 3단계 기본 절차

  1. 지원 가능한 알고리즘 서로 교환
  2. 키 교환, 인증
  3. 대칭키 암호로 암호화 하고 메세지 인증

HPKP

  • HTTP Public Key Pinning
  • SSL/TLS로 이루어진 암호화 통신은 중간자 공격에 취약함
  • 이 문제를 해결하기 위해 클라이언트와 서버는 서로의 인증서를 고정으로 해두는 것을 HPKP
  • 참고

CAA Record (DNS CAA)

  • Domain Name Server Certification Authority Authorization (CAA)
  • 특정 도메인의 CA (Certificate Authority) 가 어디인지를 알려주기 위한 것
  • 참고