TLS 1.0 및 1.1 사용 중단

배경

Braze는 PCI 보안표준위원회가 2018년 5월 두 단계에 걸쳐 발표한 권고에 따라 TLS 1.0과 1.1 모두에서 취약한 것으로 알려진 TLS(전송 계층 보안) 암호를 더 이상 사용하지 않습니다.

이번 변경은 Braze 플랫폼과 관련된 침해나 문제에 대응하기 위한 것이 아니라 업계 최고 수준의 보안 및 데이터 표준을 유지하고 고객과 고객의 고객을 선제적으로 보호하기 위한 예방 조치로 이루어졌습니다.

최근 몇 년 동안 TLS와 그 이전 버전인 SSL(보안 소켓 계층)과 관련된 여러 가지 체계적인 보안 문제(POODLE, Heartbleed, LOGJAM 등)로 인해 암호화된 웹 트래픽이 위협받고 인터넷의 일부가 보안 침해에 노출되었습니다. Braze는 다른 기술 회사들과 함께 2014년에 SSLv3에 대한 지원을 중단하는 등 공격이 발견되면 취약한 암호화 프로토콜과 암호를 비활성화하는 조치를 취한 바 있습니다.

최근에는 PCI 보안 표준 협의회에서 2015년 4월 결제 카드 업계 데이터 보안 표준 (PCI-DSS)에 대한 암호화 관련 지침을 발표했습니다. 이 지침은 강력한 암호화 암호의 프로토콜 목록에서 SSL 3.0, TLS 1.0 및 TLS 1.1에서 지원하는 일부 암호 스위트를 제외하며, 인터넷 사용자의 보안을 위해 기업이 해당 프로토콜 또는 암호에 대한 지원을 중단할 것을 권장합니다.

암호 스위트는 보안 SSL 또는 TLS 연결을 협상할 때 암호화, 인증 및 통신 무결성을 제공하는 알고리즘의 조합입니다. 현재 알려진 공격이 있든 없든 특정 암호를 해독할 수 있는 가능성이 발견되면 해당 암호는 향후 공격을 가능하게 할 수 있는 “약점”이 있는 것으로 간주됩니다. 이러한 TLS 암호를 PCI DSS 규정 준수 요구 사항에서 제외하여 PCI DSS 협의회는 서비스 제공업체가 동급 최강의 암호화 표준만 지원하도록 요구하고 있습니다. PCI DSS 협의회는 2018년 6월 30일을 암호화 요건 준수 기한으로 정하여 TLS 1.0 및 TLS 1.1에 대한 지원을 중단하도록 했습니다.

Braze의 지원 중단 계획

PCI DSS 위원회의 권고 사항을 준수하기 위해 Braze는 당사 서비스에서 지원하는 최소 버전의 TLS를 상향 조정할 예정입니다. 규정 준수 계획과 이 계획이 브랜드와 사용자에게 미칠 수 있는 잠재적 영향에 대한 이해를 돕기 위해 두 가지 주요 단계에 대해 알아두어야 할 사항이 있습니다:

1단계: 2017년 10월 1일

Braze의 웹 대시보드 및 REST API에서 다음 암호를 사용할 수 있는 기능이 제거됩니다.

• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_3DES_EDE_CBC_SHA

모든 최신 웹 브라우저는 더 안전한 암호를 지원하므로 이러한 변경 사항은 Braze 대시보드에 액세스하는 고객에게는 영향을 미치지 않습니다. 그러나 10월 1일 이후 웹 대시보드에 액세스할 때 SSL 암호화 오류가 발생하는 경우 최신 버전의 웹 브라우저로 업그레이드하기만 하면 문제를 해결할 수 있습니다.

엔지니어링 팀은 Braze의 REST API를 사용한 서버 간 통신에 이러한 암호를 사용하지 않도록 해야 합니다. 그렇다면 10월 1일 이전에 더 안전한 암호화 암호를 사용하도록 코드를 업데이트해야만 Braze의 API를 계속 사용할 수 있습니다. 그러나 취약한 암호를 사용할 수 있는 오래된 구형 모바일 기기에 대한 지원을 유지하기 위해 Braze는 SDK에서 데이터를 수신한 APIS에서 이러한 암호를 계속 지원할 것입니다.

2단계: 2018년 5월 31일

Braze는 2018년 5월 31일에 Braze 대시보드, REST API, SDK와 통신하는 API를 포함한 모든 Braze 서비스에서 TLS 1.0 및 TLS 1.1에 대한 지원을 중단할 예정입니다. 또한 SDK 데이터를 수신하는 API와 관련하여 이전 섹션에 나열된 암호에 대한 지원도 제거할 예정입니다. 즉, 이 날짜부터 Braze와 주고받는 모든 TLS 1.0 및 1.1 통신은 당사 네트워크에서 지원되지 않습니다.

이 변경으로 인해, 일부 구형 또는 오래된 모바일 기기(Android 초기 버전을 실행하는 기기 등)는 Braze와 통신할 수 없게 되어 Braze로 데이터를 전송하거나 Braze로부터 인앱 메시지를 수신하지 못할 수 있습니다. 그러나 이러한 변경은 소수의 기기에만 영향을 미칠 것으로 예상됩니다. 영향을 받는 모든 기기는 한 달 후인 2018년 6월 30일, 즉 PCI DSS 위원회에서 TLS 1.0 및 TLS 1.1 암호 제거를 위해 정한 날짜에 PCI 호환 웹사이트 또는 서비스와 통신할 수 없게 됩니다.

실행 계획

브랜드에서 Braze의 REST API를 사용하는 경우, 서비스 중단을 방지하기 위해 엔지니어링 팀에 문의하여 모든 서버 간 호출이 위에 나열된 TLS 1.2를 사용하여 이루어지도록 하세요. Java 7과 같은 일부 프로그래밍 언어에서는 기본적으로 이전 버전의 TLS를 사용하므로 엔지니어링 팀에서 업그레이드된 암호화 요구 사항을 지원하기 위해 일부 코드를 변경해야 할 수도 있습니다.

Apple 기기는 2016년 말부터 TLS 1.2를 요구해 왔기 때문에 Braze의 계획된 사용 중단에 영향을 받지 않습니다. 최신 웹 브라우저도 마찬가지이므로 이러한 변경 사항이 웹 SDK 사용에는 영향을 미치지 않을 것으로 예상합니다. 그러나 Android 4.4(킷캣) 이하를 실행하는 안드로이드 기기는 기본적으로 TLS 1.2를 사용하지 않을 수 있으므로 2018년 5월 31일까지 모든 Android 통합 기능을 Braze SDK 버전 2.0.3(해당 기기에서 지원할 수 있는 경우 기본적으로 TLS 1.2를 사용) 이상으로 업그레이드하세요.

마지막으로, TLS 1.0 및 TLS 1.1 암호 스위트의 알려진 취약점으로 인해 향후 공격이 발생할 수 있으며, 이로 인해 Braze는 모든 고객의 보안을 보호하기 위해 사용 중단 계획을 가속화해야 할 수도 있습니다. Braze는 TLS 1.0 및 1.1 프로토콜과 관련된 보안 상태 및 관련 공격을 모니터링하고, 이전 섹션에서 설명한 타임라인을 변경할 수 있는 공격이 발견될 경우 계속 알려드리겠습니다. 그러나 이러한 잠재적인 영향 때문에 엔지니어링 팀과 협력하여 Braze에 대한 API 호출이 TLS 1.2로 보호되도록 하고, 향후 몇 달 내에 최신 Android SDK로 업그레이드할 계획을 세우는 것이 좋습니다.