웹 보안 프로토콜 HSTS, Proposed Standard로 승인2012.10.05

웹 보안 프로토콜인 HSTS (HTTP Strict Transport Security)가 IETF에서 Proposed Standard로 승인됨

※ IETF (Internet Engineering Task Force)는 국제 인터넷 표준화 기구로, 인터넷 운영 프로토콜의 표준과 관련된 사항을 정의함

웹 보안 프로토콜 HSTS가 IETF에서 스티어링 그룹(steering group)으로부터 Proposed Standard로 승인

  • HSTS는 HTTP 세션 하이재킹을 피하기 위해 제안된 프로토콜임
    ※ draft-ietf-websec-strict-transport-sec-14
  • 보안성의 향상을 위한 방안이며, 웹 사이트 연결 시 항상 보안 연결 상태로 접근
    ※ 암호화되지 않은 웹 사이트로 인한 인터넷 하이재킹으로부터 인터넷 사용자들을 보호하기 위해 웹 보안 프로토콜이 제안됨

인터넷 드래프트 문서 상의 HSTS 정책 관련 설명으로는, 보안 연결로만 접근 가능함을 웹 사이트 자신이 선언할 수 있는 메커니즘을 정의하는 것이라고 되어 있음

  • 주요 사항으로는 use cases, HSTS 정책효과, 위협 모델, 요구사항, 적합성과 관련된 요구사항, HSTS 메커니즘을 들 수 있음

정책을 따르는 웹 browser는, 웹 접속 사용자가 URL을 입력 시 “https” 입력을 기억하지 않아도 자동으로 ‘보안 안 되는 링크’에서 ‘보안되는 링크’로 전환되는 것임

이러한 HSTS를 이미 지원하는 사이트 및 서비스의 예로는 PayPal, Blogspot, Etsy, Chrome, Firefox 4, Opera 12 Web browsers가 있음

※ HSTS를 아직 수용하지 않는 사이트 및 서비스 예로는 Microsoft의 Internet Explorer와 Apple의 Safari가 있음

인터넷 사용자들이 많이 이용하는 웹 browser에 대해, 이러한 보안 관련 표준화 연구가 진행되고 있음을 시사

 

[출처]

1. http://news.cnet.com/8301-1009_3-57524915-83/web-security-protocol-hsts-wins-proposed-standard-status

2. http://datatracker.ietf.org/doc/draft-ietf-websec-strict-transport-sec/?include_text=1

 

 

작성 : 침해예방단 연구개발팀

출처: https://www.krcert.or.kr/kor/data/TrendView.jsp?p_bulletin_writing_sequence=1411


블로그 이미지

오픈이지

시큐어코딩 교육/컨설팅 전문가 그룹

댓글을 달아 주세요