Cloudflare의 목표 중 하나는 고객이 자신의 필요에 맞는 방식으로 보안을 활성화하는 데 필요한 도구를 제공하는 것입니다. SSL/TLS 영역에서는 최소 TLS 버전 설정과 지원되는 암호 모음 목록 제한이라는 두 가지 주요 제어 기능을 제공합니다. 이전에는 이러한 설정이 전체 도메인에 적용되어 '전부 아니면 전무' 효과가 발생했습니다. 전체 도메인에 걸쳐 균일한 설정을 적용하는 것은 일부 사용자에게는 적합하지만, 여러 하위 도메인에 걸쳐 다양한 요구 사항을 가진 사용자에게는 필요한 세분성이 부족할 때가 있습니다.
그러한 이유로 오늘부터 고객이 호스트 이름 단위로 TLS 설정을 지정할 수 있게 된다는 소식을 알려드리게 되어 기쁩니다.
최신 프로토콜 사용의 장단점
이상적인 세계에서는 모든 도메인을 아무런 문제 없이 가장 안전한 최신 프로토콜을 사용하도록 업데이트할 수 있습니다. 안타깝게도 현실에서는 그렇지 않습니다. 새로운 표준과 프로토콜이 효과를 발휘하려면 이들을 채택해야만 합니다. TLS 1.3은 2018년 4월에 IETF에서 표준화했습니다. TLS 1.2에서 지원하던 취약한 암호화 알고리즘을 제거하고 두 번이 아니라 한 번만 왕복하도록 하여 성능이 향상되었습니다. 사용자가 TLS 1.3의 이점을 누리려면 브라우저 또는 장치에서 새 TLS 버전을 지원해야 합니다. 최신 브라우저와 장치의 경우 이러한 운영 체제는 새로운 프로토콜 지원을 위해 동적으로 업데이트되도록 설계되었기 때문에 문제가 되지 않습니다. 하지만 기존 클라이언트와 장치는 분명히 동일한 사고방식으로 구축되지 않았습니다. 2015년 이전에는 새로운 프로토콜과 표준이 몇 달 또는 몇 년이 아니라 수십 년에 걸쳐 개발되었으므로 클라이언트가 당시 사용되던 하나의 표준에 대한 지원과 함께 출시되었습니다.
Cloudflare Radar를 살펴보면 트래픽의 약 62.9%에서 TLS 1.3을 사용하는 것을 알 수 있습니다. 이는 표준화된 지 5년 밖에 되지 않은 프로토콜로서는 상당히 중요한 수준입니다. 하지만 이는 인터넷의 상당 부분이 여전히 TLS 1.2 이하를 사용하고 있다는 의미이기도 합니다.
디지털 서명 알고리즘에도 동일한 절충 상황이 적용됩니다. TLS용 ECDSA는 RSA보다 몇 년 뒤인 2006년에 표준화되었습니다. TLS용 ECDSA는 RSA보다 높은 수준의 보안을 제공하며 사용하는 키 길이가 더 짧으므로 모든 요청에 대해 성능이 향상됩니다. ECDSA를 사용하려면 도메인 소유자가 ECDSA 인증서를 발급받아 제공해야 하며, 연결되는 클라이언트가 타원 곡선 암호화(ECC)를 사용하는 암호 집합을 지원해야 합니다. 현재 공신력 있는 인증 기관에서는 대부분 ECDSA 기반 인증서를 지원하지만, 채택 속도가 느리기 때문에 많은 레거시 시스템에서 RSA만 지원합니다. 그러므로 앱이 ECC 기반 알고리즘만 지원하도록 제한하면 구형 클라이언트 및 장치를 사용하는 사용자의 액세스가 차단될 수 있습니다.
절충 상황 균형 맞추기
보안과 접근성 측면에서 비즈니스에 적합한 중간 지점을 찾는 것이 중요합니다.
브랜드를 유지하기 위해 대부분의 회사에서는 모든 자산을 하나의 도메인 아래에 배포합니다. 루트 도메인(예: example.com)을 마케팅 웹 사이트로 사용하여 회사, 사명, 제공하는 제품, 서비스에 대한 정보를 제공하는 것이 일반적입니다. 그런 다음 동일한 도메인 아래에 회사 블로그(예: blog.example.com), 관리 포털(예: dash.example.com), API 게이트웨이(예: api.example.com)가 있을 수 있습니다.
마케팅 웹 사이트와 블로그는 액세스하는 사용자로부터 정보를 수집하지 않는 정적 사이트라는 점에서 유사합니다. 반면 관리 포털과 API 게이트웨이는 보호해야 하는 중요한 데이터를 수집하여 제공합니다.
어떤 설정을 배포할지 고민할 때는 교환되는 데이터와 사용자층을 고려해야 합니다. 마케팅 웹 사이트와 블로그에는 모든 사용자가 액세스할 수 있어야 합니다. 최신 프로토콜을 지원하는 클라이언트에 대해 최신 프로토콜을 지원하도록 설정할 수 있지만, 구형 장치에서 이러한 페이지에 액세스하는 사용자의 액세스를 반드시 제한하고 싶지는 않을 것입니다.
관리 포털과 API 게이트웨이는 교환되는 데이터를 가장 잘 보호할 수 있는 방식으로 설정해야 합니다. 이는 취약점이 알려진 덜 안전한 표준에 대한 지원을 중단하고 새롭고 안전한 프로토콜을 사용해야 한다는 의미입니다.
이러한 설정을 하려면 도메인 내의 모든 하위 도메인에 대한 설정을 개별적으로 구성할 수 있어야 합니다.
호스트 이름별 TLS 설정 - 이제 사용할 수 있습니다!
Cloudflare의 Advanced Certificate Manager를 사용하는 고객은 도메인 내의 개별 호스트 이름에서 TLS 설정을 구성할 수 있습니다. 고객은 이를 이용하여 HTTP/2를 사용하거나 특정 호스트 이름에서 최소 TLS 버전 및 지원되는 암호 제품군을 구성할 수 있습니다. 특정 호스트 이름에 적용되는 모든 설정은 영역 수준 설정을 대체합니다. 또한 이 새로운 기능을 사용하면 호스트 이름과 와일드카드 레코드에 서로 다른 설정을 사용할 수 있습니다. 즉, example.com에서는 한 설정을 사용하도록, *.example.com에서는 다른 설정을 사용하도록 구성할 수 있습니다.
도메인의 기본 최소 TLS 버전은 TLS 1.2로 설정하지만, 대시보드 및 API 하위 도메인의 경우에는 최소 TLS 버전을 TLS 1.3으로 설정하고 싶다고 가정해 보겠습니다. Cloudflare 대시보드에서 아래와 같이 영역 수준 최소 버전을 1.2로 설정할 수 있습니다. 그런 다음 대시보드 및 API 하위 도메인의 최소 버전을 1.3으로 설정하려면 TLS 특정 호스트 이름과 설정으로 호스트 이름별 설정 API 엔드포인트를 호출합니다.
이 모든 기능은 오늘부터 API 엔드포인트를 통해 사용할 수 있습니다! 호스트 이름별 TLS 설정 사용 방법에 대해 자세히 알아보려면 개발자 문서로 이동하세요.