aws SSL / TLS 인증서

AWS SSL 인증서 

- 클라이언트와 로드 밸런서 사이에서 트래픽이 이동하는 동안 암호화 해준다 이를 전송 중 (in-flight) 암호화라고 합니다

- 데이터는 네트워크를 이동하는 중에는 암호화 되고, 송신자와 수신자 측에서만 이를 복호화할 수 있습니다

- SSL은 '보안 소켓 계층'을 의미하고 연결을 암호화하는 데 사용합니다.

 

AWS TLS 인증서

- TLS는 새로운 버전의 SSL로 '전송 계층 보안'을 의미합니다.

- 보통 TLS 인증서를 주로 사용하지만 SSL으로 부릅니다

 

AWS SSL/TLS 인증서

- 퍼블릭 인증서는 인증 기관(CA)에서 발급합니다. 인증 기관에는 Comodo, Symantec, GoDaddy, GlobalSign, Digicert, Letsencrypt 등이 있습니다.

SSL/TLS 인증서의 예

 

- 인증서의 최대 유효 기간은 13개월입니다. SSL/TLS 인증서의 유효 기간은 지난 수년에 걸쳐 점진적으로 단축되었습니다. 이는 기업과 웹 사용자에게 영향을 미치는 보안 위험을 줄이기 위한 조치입니다.

 

SSL/TLS 로드 밸런서 동작

- 퍼블릭 SSL 인증서를 로드 밸런서에 추가하면, 클라이언트와 로드 밸런서 사이의 연결을 암호화할 수 있습니다.

- 인터넷을 통해 로드 밸런서에 접속하면, 로드 밸런서에서는 내부적으로 SSL 종료를 수행합니다.

- 백엔드에서는 HTTP로 EC2 인스턴스와 통신하고 암호화 되지 않은 상태로, 하지만 VPC로 이동하는 트래픽은 프라이빗 네트워크를 쓰기 때문에 안전합니다.

- 로드 밸런서는 X.509 인증서를 사용합니다.

 

ACM

 

- AWS에는 인증서들을 관리하는 ACM이라는게 있습니다.

- ACM은 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원합니다.

- ACM은 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해줍니다. 

- ACM은 다중 도메인을 지원하기 위해 다른 인증서를 추가할 수도 있고, 클라이언트는 SNI(서버 이름 지정)라는 걸 써서 접속할 호스트의 이름을 알릴 수 있습니다.

 

AWS SNI

- SNI는 여러 개의 인증서를 하나의 웹 서버에 로드해 하나의 웹 서버가 여러 개의 웹 사이트 지원할 수 있게 해줍니다.

- SNI를 사용하는 경우, 클라이언트가 서버와 SSL/TLS 핸드셰이크를 수행할 때 호스트 이름이 함께 전송되어, 서버는 이를 기반으로 올바른 인증서를 선택하게 됩니다

- 모든 클라이언트가 지원하지 않습니다. SNI는 애플리케이션 로드 밸런서, 네트워크 로드 밸런서, CloudFront에서만 동작합니다.