Cloudflare가 어떤 TLS 암호와 프로토콜을 지원하는지 알아보세요. Cloudflare SSL 인증서가 어떤 브라우저를 지원하고 Cloudflare 인증서를 서명하는 데 어떤 중간 및 루트 인증서가 사용되는지 알아보세요.
Cloudflare TLS/SSL 암호 지원
트래픽 암호화는 웹사이트 방문자와 Cloudflare 사이 또는 Cloudflare와 원본 웹 서버 사이에 일어나기 때문에, Cloudflare는 다음을 구분합니다.
Cloudflare가 지원하는 원본 웹 서버 TLS/SSL 암호
Cloudflare는 Cloudflare SSL/TLS 앱의 Overview 탭에 지정된 SSL/TLS 암호화 모드에 따라, HTTP나 HTTPS를 통해 원본 웹 서버에 연결합니다. 다음은 HTTPS를 통해 원본 웹 서버에 연결할 때, TLS 1.3, TLS 1.2, 이전 TLS 버전에 대해 Cloudflare가 지원하는 원본 웹 서버 SSL 암호입니다.
TLS 1.2 및 이전 TLS 버전:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
- ECDHE-RSA-AES256-GCM-SHA384
TLS 1.3:
|
암호 제품군 이름(IANA) |
암호 제품군(8진수 값) |
|
TLS_AES_128_GCM_SHA256 |
{0x13,0x01} |
|
TLS_AES_256_GCM_SHA384 |
{0x13,0x02} |
|
TLS_CHACHA20_POLY1305_SHA256 |
{0x13,0x03} |
Cloudflare TLS/SSL 암호
SSL 인증서가 아니라, 클라이언트 브라우저와 웹 서버의 구성이 사용할 암호 제품군을 결정합니다. 브라우저는 HTTPS 연결을 시작할 때, 지원하는 암호 제품군 목록을 보냅니다. 이어서 웹 서버가, 사용할 제품군을 선택합니다.
Cloudflare는 현재 AES128을 이용한 연결을 선호합니다. AES256을 사용하려면 클라이언트의 브라우저가 256비트 암호 제품군을 실행해야 합니다. Cloudflare의 AES128 사용은 앞으로 변할 수 있습니다.
다음은 유료 고객에 대해 Cloudflare가 TLS 1.3, TLS 1.2 및 이전 버전에 대해 지원하는 SSL 암호입니다.
|
OpenSSL 이름 |
TLS 1.0 |
TLS 1.1 |
TLS 1.2 |
TLS 1.3 |
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-ECDSA-CHACHA20-POLY1305 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-AES128-GCM-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-CHACHA20-POLY1305 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-ECDSA-AES128-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-ECDSA-AES128-SHA |
✅ |
✅ |
✅ |
❌ |
|
ECDHE-RSA-AES128-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-AES128-SHA |
✅ |
✅ |
✅ |
❌ |
|
AES128-GCM-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
AES128-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
AES128-SHA |
✅ |
✅ |
✅ |
❌ |
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-ECDSA-AES256-SHA384 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-AES256-GCM-SHA384 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-AES256-SHA384 |
❌ |
❌ |
✅ |
❌ |
|
ECDHE-RSA-AES256-SHA |
✅ |
✅ |
✅ |
❌ |
|
AES256-GCM-SHA384 |
❌ |
❌ |
✅ |
❌ |
|
AES256-SHA256 |
❌ |
❌ |
✅ |
❌ |
|
AES256-SHA |
✅ |
✅ |
✅ |
❌ |
|
DES-CBC3-SHA |
✅ |
❌ |
❌ |
❌ |
|
AEAD-AES128-GCM-SHA256 |
❌ |
❌ |
❌ |
✅ |
|
AEAD-AES256-GCM-SHA384 |
❌ |
❌ |
❌ |
✅ |
|
AEAD-CHACHA20-POLY1305-SHA256 |
❌ |
❌ |
❌ |
✅ |
Cloudflare의 SSL 구성에 대한 최신 정보는 SSL 구성 공용 리포지토리를 참조하시기 바랍니다.
Cloudflare TLS/SSL 프로토콜 지원
Cloudflare는 방문자와 SSL 연결을 수립하는 데 TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3만 사용합니다.
TLS 1.2는 2008년에 산업 표준이 됐습니다. PCI(Payment Cards Industry) 보안 표준 위원회와 NIST(National Institute of Standards and Technology)는 모두 웹 보안 강화를 위해 TLS 1.2를 승인했습니다.
Cloudflare TLS/SSL 브라우저 지원
Cloudflare는 유료 요금제에 무료 요금제보다 많은 SSL 인증서를 제공합니다. 그러므로, 유료 요금제는 오래된 장치도 지원할 수 있습니다. 현재 브라우저가 지원하는 SSL 프로토콜과 암호에 대한 자세한 정보는 https://www.ssllabs.com/ssltest/viewMyClient.html을 참조하시기 바랍니다.
최소 TLS 버전을 통해 구성된 TLS 버전이 지원되는지 테스트하려면, TLS 버전을 명시하고 Cloudflare 도메인에 요청을 보내세요. 예를 들어 curl 명령으로 TLS 1.1을 테스트하세요(www.example.com을 Cloudflare 도메인 및 호스트 이름으로 교체).
curl https://www.example.com -svo /dev/null --tlsv1.1
Cloudflare가 TLS 버전을 차단한 경우 TLS 핸드셰이크가 완료되지 않고 다음과 같은 오류 메시지를 반환합니다.
- tlsv1 경고 프로트콜 버전 또는
- 일시 중지 스트림 멈춤
Cloudflare 유료 요금제 도메인에서의 최신 브라우저 지원
Cloudflare SSL 인증서는 SAN(Subject Alternative Name) 확장을 사용하여 동일한 SSL 인증서 상의 여러 도메인을 지원합니다. 또한, Dedicated 인증서와 Universal SSL 인증서는 ECDSA(Elliptic Curve Digital Signature Algorithm)를 포함한 SNI(서버 이름 표시)를 사용합니다. 브라우저가 SNI를 지원하는지 확인하세요.
Cloudflare 지원팀은 프로, 비즈니스, 기업 요금제 도메인에 대해 Universal, Dedicated, 사용자 지정 또는 사용자 지정 호스트 이름 인증서에 대한 비SNI 지원을 활성화할 수 있습니다. SNI 및 ECDSA 인증서는 다음과 같은 최신 브라우저에서 작동합니다.
Windows Vista 또는 OS X 10.6 이상에 설치된 데스크톱 브라우저:
- Internet Explorer 7
- Firefox 2
- Opera 8(TLS 1.1 사용)
- Google Chrome v5.0.342.0
- Safari 2.1
모바일 브라우저:
- iOS 4.0용 Mobile Safari
- Android 3.0(Honeycomb) 이상
- Windows Phone 7
Cloudflare 무료 도메인에서의 최신 브라우저 지원
Cloudflare 무료 요금제 도메인에 제공되는 SSL 인증서 수가 적기 때문에, 무료 도메인에 대한 SSL 브라우저 지원은 최신 브라우저에만 제한됩니다.
최소 지원되는 데스크톱 브라우저:
- Firefox 2
- Windows Vista 기반 Internet Explorer 7
- 다음을 사용하는 Windows Vista 또는 OS X 10.6:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
최소 지원되는 모바일 브라우저:
- IOS 4.0 기반의 모바일 Safari
- Android 4.0("Ice Cream Sandwich")
- Windows Phone 7
Cloudflare 인증서 서명에 사용되는 SSL 중간 및 루트 인증서
Universal SSL, Dedicated SSL, SSL for SaaS 인증서는 Digicert가 발행합니다.
Sectigo
다음 Cloudflare 인증서를 서명하는 데 사용되는 루트 및 중간 인증서를 자세히 알아보려면 아래 콘텐츠를 클릭하여 펼쳐보세요.
|
레벨 |
일반 이름 |
일련 |
SHA-1 Fingerprint |
다운로드 |
|
루트 |
AddTrust External CA Root |
1 |
02FAF3E291435468607857694DF5E45B68851868 |
|
|
중간 1 |
Sectigo ECC 인증 기관 |
4352023FFAA8901F139FE3F4E5C1444E |
AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA |
|
|
중간 2 |
Sectigo ECC Domain Validation Secure Server CA 2 |
5B25CE6907C4265566D3390C99A954AD |
75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
|
레벨 |
일반 이름 |
일련 |
SHA-1 Fingerprint |
다운로드 |
|
루트 |
AddTrust External CA Root |
1 |
02FAF3E291435468607857694DF5E45B68851868 |
|
|
중간 1 |
Sectigo RSA 인증 기관 |
2766EE56EB49F38EABD770A2FC84DE22 |
F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 |
|
|
중간 2 |
Sectigo ECC Domain Validation Secure Server CA 2 |
0BA2D01DCBCB7776E8AC65097AC12541 |
0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
다음 Cloudflare 인증서를 서명하는 데 사용되는 루트 및 중간 인증서를 자세히 알아보려면 아래 콘텐츠를 클릭하여 펼쳐보세요.
|
레벨 |
일반 이름 |
일련 |
SHA-1 Fingerprint |
다운로드 |
|
루트 |
Baltimore CyberTrust Root |
33554617 |
D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
|
|
중간 |
CloudFlare Inc ECC CA-2 |
0FF3E61639AA3D1A1265F41F8B34E5B6 |
6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
|
레벨 |
일반 이름 |
일련 |
SHA-1 Fingerprint |
다운로드 |
|
루트 |
Baltimore CyberTrust Root |
33554617 |
D4DE20D05E66FC53FE1A50882C78DB2852CAE474 |
|
|
중간 |
CloudFlare Inc RSA CA-1 |
060DD6C1D067901B5475FCFFC29E3137 |
2AA2B8A223DA08798599B54DE4121757ABA33341 |