TLS1.0 및 1.1 지원 종료에 대한 조치 안내
2024.10.30 내용 추가 작성 및 수정
Caseopen 하여 Microsoft 내부 최신 업데이트 확인 결과, 적용 기간이 변경되었습니다.
기존 적용 기한 : 2024년 10월 31일
변경된 적용 기한 : 2025년 8월 31일
Azure에서는 보안을 강화하고 데이터에 대해 동급 최고 수준의 암호화를 제공하기 위해,
2024년 10월 31일 이후 TLS 1.0 및 1.1 지원을 종료하고 이후부터 Azure 서비스와의 상호 작용에 TLS 1.2 이상을 사용해야 합니다.
Azure의 내부 리소스간의 통신 구간은 10월 31일까지 순차적으로 자동 업데이트 될 예정입니다.
잠재적인 서비스 중단을 방지하기 위해 어플리케이션 담당자는 TLS 통신을 하는지 확인이 필요하며,
TLS 1.2 버전 미만의 통신을 사용한다면 TLS 1.2 이상으로 통신하도록 설정 해줘야 합니다.
- 예시 :
1. 웹 브라우저와 웹 서버 간의 통신 구간
2. 메일 클라이언트와 메일 서버 간의 통신 구간
3. 어플리케이션 서버와 데이터베이스 간의 통신 구간
4. Azure 외부에서 들어오는 API 통신 구간
자주 묻는 질문
Q Azure 리소스에 대해서 고객의 조치가 필요한가요?
A 대부분의 Azure 리소스는 10월31일까지 순차적으로 자동 업데이트 될 예정입니다.
어플리케이션 담당자는 TLS 통신을 하는지 확인이 필요하며,
TLS1.2 버전 미만을 이용한 통신을 하고 있다면, 10월 31일 전까지 개발 환경에서 TLS 1.2를 이용한 통신 테스트를 완료하고 운영 환경에 적용해야 합니다.
Q TLS 프로토콜을 사용하지 않는다면 아무런 조치를 하지 않아도 되나요?
A TLS 프로토콜을 사용하지 않는 경우, 별도로 조치할 필요는 없습니다.
다만, VM의 경우 OS 수준에서 TLS를 지원하지 않거나 사용에 제약이 있을 수 있습니다.
이로 인해 데이터베이스 또는 다른 Azure 내부 리소스와의 통신에 제한이 있을 수 있으므로 너무 오래된 OS를 사용하고 있지 않은지 확인하는 것이 중요합니다.
Linux VM의 경우 각 배포판의 버전 별 지원하는 보안 프로토콜을 따릅니다.
자세한 내용은 각 배포판의 공식 문서를 참고 부탁드립니다.
배포판 | 버전 | 지원되는 보안 프로토콜 |
Ubuntu | 20.04 LTS | TLS 1.2, TLS 1.3 |
22.04 LTS | TLS 1.2, TLS 1.3 | |
CentOS | 7 | TLS 1.0, TLS 1.1, TLS 1.2 |
8 | TLS 1.2, TLS 1.3 | |
Debian | 10 (Buster) | TLS 1.2, TLS 1.3 |
11 (Bullseye) | TLS 1.2, TLS 1.3 | |
RHEL | 7 | TLS 1.0, TLS 1.1, TLS 1.2 |
8 | TLS 1.2, TLS 1.3 | |
SUSE | 15 | TLS 1.2, TLS 1.3 |
Q 주요 리소스들에 대하여 현재 사용하고 있는 최소 TLS 버전을 어떻게 확인할 수 있나요?
A 현재 사용하고 있는 최소TLS 버전은 Azure Portal에서 확인하실 수 있습니다.
만약 Azure Portal에서 확인이 불가능하다면, 해당 리소스는 Azure에서 관리되는 리소스이므로 사용자가 별도로 신경 쓸 필요는 없습니다.
주요 리소스별 최소 TLS 버전 확인 방법은 아래와 같습니다.
주요 리소스 별 조치 안내
Application Gateway
수신기(Listner) > 하단 SSL 정책 > 최소 프로토콜 버전 부분을 확인합니다.
TLSv1.2 미만을 사용중이라면 AppGwSslPolicy20220101 정책 이상 버전으로 변경을 권장 드립니다.
- Front Door & CDN
Azure Front Door 및 CDN은 TLS 1.0 ~ 1.3을 지원합니다.
2019년 9월 이후에 생성된 모든 리소스는 TLS 1.2를 기본 최소값으로 사용하고 있으며, 호환성을 위해 TLS 1.0 및 1.1도 지원하지만, 이번 업데이트로 인해 10월 31일 이후부터는 TLS 1.0 및 1.1의 지원이 종료됩니다.
따라서 TLS를 이용한 통신을 하고 있다면, 10월 31일 전까지 개발 환경에서 TLS 1.2를 이용한 통신 테스트를 완료하고 운영 환경에 적용해야 합니다.
- Azure SQL Server
Azure SQL Server > 네트워킹 > 연결 > 최소 TLS 버전을 확인합니다.
Azure SQL Server는 TLS 1.0 ~ 1.3을 지원합니다.
최소 TLS 버전을 설정하면 해당 버전부터 최신 버전까지 지원됩니다.
이번 업데이트로 인하여 10월31일 이후부터는 TLS1.0 및 1.1 지원이 종료됩니다.
따라서 TLS를 이용한 통신을 하고 있다면, 10월 31일 전까지 개발 환경에서 TLS 1.2를 이용한 통신 테스트를 완료하고 운영 환경에 적용해야 합니다.
- Azure MySQL
MySQL > 서버 매개 변수에서 설정
TLS 사용 : require_secure_transport 값 ON , tls_version 명시
TLS 미사용 : require_secure_transport 값 OFF
2024년 9월 초부터 TLS 1.0 및 TLS 1.1 프로토콜에 대한 지원 제거에 따라 새 서버는 더 이상 TLS 1.0 또는 1.1을 사용할 수 없으며, 기존 서버는 이러한 버전으로 다운그레이드할 수 없습니다.
2024년 9월 중순부터 TLS 1.0 또는 1.1을 사용하는 모든 서버를 TLS 1.2로 필수 업그레이드를 시작합니다.
따라서 TLS를 이용한 통신을 하고 있다면, 10월 31일 전까지 개발 환경에서 TLS 1.2를 이용한 통신 테스트를 완료하고 운영 환경에 적용해야 합니다.
https://learn.microsoft.com/ko-kr/azure/mysql/flexible-server/how-to-connect-tls-ssl
Virtual Machine
VM의 경우 서버 내 수행되는 어플리케이션에서 TLS 통신 유무를 우선적으로 확인 하셔야 합니다.
TLS 1.2 버전 미만의 통신을 사용한다면 TLS 1.2 이상으로 통신하도록 설정 변경이 필요합니다.
또, 너무 오래된 OS를 사용하지는 않는지 확인이 필요합니다.
예를들면 윈도우8(Windows Server2008 R2) 이하 버전의 OS를 사용하는 경우 TLS 1.2를 사용할 수 없거나 사용에 제약이 있으므로 OS 마이그레이션이 필요합니다.
Linux VM의 경우 각 배포판의 버전 별 지원하는 보안 프로토콜을 따릅니다.
자세한 내용은 각 배포판의 공식 문서를 참고 부탁드립니다.
배포판 | 버전 | 지원되는 보안 프로토콜 |
Ubuntu | 20.04 LTS | TLS 1.2, TLS 1.3 |
22.04 LTS | TLS 1.2, TLS 1.3 | |
CentOS | 7 | TLS 1.0, TLS 1.1, TLS 1.2 |
8 | TLS 1.2, TLS 1.3 | |
Debian | 10 (Buster) | TLS 1.2, TLS 1.3 |
11 (Bullseye) | TLS 1.2, TLS 1.3 | |
RHEL | 7 | TLS 1.0, TLS 1.1, TLS 1.2 |
8 | TLS 1.2, TLS 1.3 | |
SUSE | 15 | TLS 1.2, TLS 1.3 |
- Servicebus
Servicbus > 구성(configuration) > 최소 TLS 버전 지정
추가적으로 어플리케이션 담당자는 클라이언트에서 특정 버전의 TLS를 사용하여 요청을 보내는지 확인이 필요합니다.
예를들어 .NET 또는 Java에서 Protocol을 지정하는 설정이 있는지 확인하여 TLS1.2 미만이라면 설정 변경이 필요합니다.
- Storage account
Storage account > 설정(configurations) >최소 TLS 버전
Azure storage는 퍼블릭 HTTPS 엔드포인트에서 TLS 1.2를 사용하지만, TLS 1.0 및 TLS 1.1은 이전 버전과의 호환성을 위해 계속 지원됩니다.
이번 업데이트로 인해 10월 31일 이후부터는 TLS 1.0 및 1.1의 지원이 종료됩니다.
따라서 TLS를 이용한 통신을 하고 있다면, 10월 31일 전까지 개발 환경에서 TLS 1.2를 이용한 통신 테스트를 완료하고 운영 환경에 적용해야 합니다.
- AKS
Resource Level에서 설정할 수 있는 최소 TLS버전 적용 기능은 없습니다.
TLS 통신을 사용한다면 AKS 내부에 ingress controller를 사용하여 TLS1.2 적용이 필요합니다.
https://kubernetes.io/docs/concepts/services-networking/ingress/#tls
- ACR
Resource Level에서 설정할 수 있는 최소 TLS버전 적용 기능은 없습니다.
ACR에 Image를 올리는 클라이언트 환경에서 docker를 사용하신다면 docker 클라이언트18.03.0 이상을 사용하여 TLS 1.2를 활성화합니다.
azure cli를 사용하여 관리하시는 경우 별도의 조치가 필요하지 않습니다.
- Redis
최소 TLS 버전이 기본값으로 설정되어 있는 경우, 최소 TLS 버전은 1.2로 설정되며, 통신 환경에 따라 TLS 1.2와 1.3을 유동적으로 사용할 수 있습니다.
따라서 최소 버전을 TLS 1.0 또는 1.1로 명시적으로 설정하지 않았다면 별도로 조치를 취할 필요는 없습니다.
TLS 1.2 미만 버전을 명시적으로 사용하는 고객은 반드시 1.2 이상으로 설정해주셔야 하며, 이 경우 애플리케이션 설정도 함께 변경되어야 합니다.
추가적으로, SSL을 통해서만 액세스를 허용하지 않겠다는 설정을 OFF로 변경하면 TLS 통신을 하지 않겠다는 의미입니다.