TLS 1.3 및 클라이언트 인증서 요청에 영향을 미치는 Windows 11의 변경 사항
Microsoft 직원 Matt Hamrick의 최근 발표는 Windows 11의 TLS(전송 계층 보안) 1.3 구현, 특히 인터넷 정보 서비스(IIS)와 IIS Express가 클라이언트 인증서 요청을 관리하는 방식에 상당한 조정이 이루어졌다는 점을 강조합니다. TLS 1.3에서 “재협상”이라는 프로세스가 지원되지 않는 것이 핵심 문제입니다. Microsoft는 보안과 효율성을 강화하기 위해 이러한 수정을 도입했으며, 클라이언트 인증의 기밀성을 유지하는 동시에 왕복 횟수를 최소화하고 CPU 오버헤드를 줄이는 데 도움이 될 것이라고 밝혔습니다.
보안과 호환성 간의 균형
이러한 변화는 Microsoft가 보안과 성능을 강화하는 데 주력하는 반면, 특히 운영 체제 내의 특정 기능에 대한 특정 호환성 문제가 결과적으로 발생했음을 나타냅니다.
TLS 재협상 이해
맥락을 설명하자면, TLS 재협상은 TLS 1.2 및 이전 프로토콜에서 사용 가능한 기능으로, 서버가 이미 암호화된 세션 내에서 추가 핸드셰이크를 시작하여 클라이언트 인증서를 요청할 수 있도록 했습니다. Windows에서는 이 재협상 프로세스가 HTTP 스택( http.sys)과 Schannel 보안 패키지를 통해 이루어지며, IIS 또는 IIS Express는 초기 핸드셰이크가 완료된 후에만 제어권을 확보할 수 있습니다.
최신 Windows 버전의 동작 변경 사항
Windows 11 24H2 또는 Windows Server 2022 이전 버전을 실행하는 설치의 경우, http.sys클라이언트 인증서가 필요하지만 초기 설정에 포함되지 않은 경우, 특히 클라이언트가 핸드셰이크 후 인증을 지원하지 않는 경우 연결이 종료되었습니다.그러나 Windows 11 24H2 및 Windows Server 2025부터는 http.sys핸드셰이크 후 클라이언트 인증서를 요청하면 “지원되지 않음” 오류가 반환됩니다.이 오류로 인해 IIS는 HTTP 500 상태 코드와 “ERROR_NOT_SUPPORTED”를 나타내는 오류 코드 0x80070032로 응답합니다.
핸드셰이크 이후 인증의 한계
Microsoft는 TLS 1.3이 재협상을 금지한다는 점을 명확히 했습니다.이 프로토콜은 핸드셰이크 후 클라이언트 인증이라는 대안을 도입했지만, 주요 웹 브라우저를 포함한 대부분의 사용자는 아직 이를 구현하지 않았습니다.이러한 제한으로 인해 클라이언트 인증서는 초기 핸드셰이크 과정에서 요청해야 하며, 그렇지 않으면 세션 후반부에서 요청할 수 없습니다.http.sys핸드셰이크 완료 후 작동하는 IIS 및 IIS Express의 아키텍처로 인해 클라이언트 인증서가 세션 시작 시점에 요청되도록 사전 구성이 필요합니다.
향후 수정 사항 및 현재 상태
2025년 8월 말 현재, 마이크로소프트는 IIS Express에 대한 해결책을 제시하지 않고 있어, Hamrick은 수정판이 출시될지 여부에 대한 불확실성을 표명했습니다.그는 “솔직히 수정판이 나올지, 그리고 나온다면 어떤 모습일지 확신할 수 없습니다.”라고 말하며 우유부단함을 드러냈습니다.
인터넷 정보 서비스(IIS)에 대하여
참고로, 인터넷 정보 서비스는 Windows 운영 체제에서 웹사이트와 애플리케이션을 호스팅하도록 설계된 Microsoft의 강력하고 확장 가능한 웹 서버입니다. TLS/SSL 암호화 관리를 위해 IISWindows HTTP.sys커널 드라이버를 사용합니다. HTTPS 바인딩을 구성할 때 IIS는 이 바인딩을 기록 applicationHost.config하고 이를 활용하여 HTTP.sys클라이언트와의 TLS 협상을 처리한 후, 복호화된 HTTP 요청을 IIS로 전달하여 추가 처리를 수행합니다.
IIS Express란 무엇인가요?
반면, IIS Express는 개발 및 테스트 목적으로 최적화된 가볍고 독립적인 IIS 버전(버전 7부터)입니다.웹 애플리케이션 관리를 위해 Windows Process Activation Service가 필요하고 프로덕션 용도로 설계된 일반 IIS와 달리, IIS Express는 관리자 권한 없이도 다양한 기능과 기능을 간소화된 구성으로 실행할 수 있습니다.
더 자세한 내용은 Microsoft 기술 커뮤니티의 공식 블로그 게시물에서 확인할 수 있습니다 .
답글 남기기