Kestrel: 지원되는 기본 TLS 프로토콜 버전 변경됨
이제 Kestrel에서는 이전과 같이 TLS 1.1 및 TLS 1.2 프로토콜로 연결을 제한하는 대신 시스템의 기본 TLS 프로토콜 버전을 사용합니다.
이 변경을 통해 다음이 가능합니다.
- 환경에서 지원하는 경우 기본적으로 TLS 1.3이 사용됩니다.
- 일부 환경(기본적으로 Windows Server 2016 등)에서는 TLS 1.0이 사용됩니다. 일반적으로 바람직하지는 않습니다.
자세한 내용은 이슈 dotnet/aspnetcore#22563을 참조하세요.
도입된 버전
5.0 미리 보기 6
이전 동작
Kestrel에서 기본적으로 연결에 TLS 1.1 또는 TLS 1.2를 사용해야 했습니다.
새 동작
Kestrel에서 운영 체제가 사용할 최적의 프로토콜을 선택하고 안전하지 않은 프로토콜을 차단할 수 있습니다. HttpsConnectionAdapterOptions.SslProtocols가 이제 기본적으로 SslProtocols.Tls12 | SslProtocols.Tls11이 아니라 SslProtocols.None으로 설정됩니다.
변경 이유
TLS 1.3 및 향후 TLS 버전을 사용할 수 있게 되면 이를 기본적으로 지원하기 위해 변경되었습니다.
권장 작업
앱에 특별한 이유가 없는 한 새 기본값을 사용해야 합니다. 시스템이 보안 프로토콜만 허용하도록 구성되어 있는지 확인합니다.
이전 프로토콜을 사용하지 않도록 설정하려면 다음 작업 중 하나를 수행합니다.
시스템 전체에서 Windows 명령을 사용하여 TLS 1.0과 같은 이전 프로토콜을 사용하지 않도록 설정합니다. 현재는 모든 Windows 버전에서 기본적으로 사용하도록 설정되어 있습니다.
다음과 같이 코드로 지원할 프로토콜을 수동으로 선택합니다.
using System.Security.Authentication; using Microsoft.AspNetCore.Hosting; using Microsoft.Extensions.Hosting; public class Program { public static void Main(string[] args) => CreateHostBuilder(args).Build().Run(); public static IHostBuilder CreateHostBuilder(string[] args) => Host.CreateDefaultBuilder(args) .ConfigureWebHostDefaults(webBuilder => { webBuilder.UseKestrel(kestrelOptions => { kestrelOptions.ConfigureHttpsDefaults(httpsOptions => { httpsOptions.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13; }); }); webBuilder.UseStartup<Startup>(); }); }
아쉽게도 특정 프로토콜을 제외하는 API는 없습니다.
영향을 받는 API
.NET
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기