AWS SDK for C++에서 최소 TLS 버전 적용 - AWS SDK for C++
모든 플랫폼에서 libcurl을 사용하여 특정 TLS 버전 적용Windows에서 특정 TLS 버전 적용

AWS SDK for C++에서 최소 TLS 버전 적용

AWS 서비스와 통신할 때 보안을 강화하려면 TLS 1.2 이상을 사용하도록 SDK for C++를 구성해야 합니다. TLS 1.3 사용을 권장합니다.

AWS SDK for C++는 교차 플랫폼 라이브러리입니다. 원하는 플랫폼에서 애플리케이션을 빌드하고 실행할 수 있습니다. 플랫폼마다 서로 다른 기본 HTTP 클라이언트에 의존할 수 있습니다.

기본적으로 macOS, Linux, Android 및 기타 비 Windows 플랫폼에서는 libcurl을 사용합니다. libcurl 버전이 7.34.0 이상인 경우 기본 HTTP 클라이언트에서 사용하는 최소 버전은 TLS 1.0입니다.

Windows의 경우 기본 라이브러리는 WinHttp입니다. Windows에서는 사용 가능한 TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3 프로토콜 중에서 실제 사용할 프로토콜을 결정합니다. WinINetIXMLHttpRequest2는 Windows에서 사용할 수 있는 다른 두 가지 옵션입니다. CMake 시점과 런타임 시점에 애플리케이션이 기본 라이브러리를 대체하도록 구성할 수 있습니다. 이 두 HTTP 클라이언트의 경우에도 Windows에서 보안 프로토콜을 결정합니다.

AWS SDK for C++는 또한 기본 HTTP 클라이언트를 재정의할 수 있는 유연성도 제공합니다. 예를 들어 사용자 지정 HTTP 클라이언트 팩토리를 사용하여 libcurl을 적용하거나 원하는 HTTP 클라이언트를 사용할 수 있습니다. TLS 1.2를 최소 버전으로 사용하려면 사용 중인 HTTP 클라이언트 라이브러리를 알고 있어야 합니다.

모든 플랫폼에서 libcurl을 사용하여 특정 TLS 버전 적용

이 섹션에서는 AWS SDK for C++가 HTTP 프로토콜 지원을 위해 libcurl을 종속성으로 사용한다고 가정합니다. TLS 버전을 명시적으로 지정하려면 최소 libcurl 버전이 7.34.0이어야 합니다. 또한 AWS SDK for C++의 소스 코드를 수정한 다음 다시 빌드해야 할 수도 있습니다.

다음 절차에서는 이러한 태스크를 수행하는 방법을 보여줍니다.

libcurl을 사용하여 TLS 1.2를 적용하려면

  1. libcurl 설치가 버전 7.34.0 이상인지 확인합니다.

  2. GitHub에서 AWS SDK for C++의 소스 코드를 다운로드합니다.

  3. aws-cpp-sdk-core/source/http/curl/CurlHttpClient.cpp 파일을 열고 다음 코드 줄을 검색합니다.

    #if LIBCURL_VERSION_MAJOR >= 7
#if LIBCURL_VERSION_MINOR >= 34
curl_easy_setopt(connectionHandle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
#endif //LIBCURL_VERSION_MINOR
#endif //LIBCURL_VERSION_MAJOR

  4. 필요한 경우 함수 호출의 마지막 파라미터를 다음과 같이 변경합니다.

    #if LIBCURL_VERSION_MAJOR >= 7
#if LIBCURL_VERSION_MINOR >= 34
curl_easy_setopt(connectionHandle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
#endif //LIBCURL_VERSION_MINOR
#endif //LIBCURL_VERSION_MAJOR

  5. 앞서 설명한 코드 변경을 수행한 경우 https://github.com/aws/aws-sdk-cpp#building-the-sdk에 있는 지침에 따라 AWS SDK for C++를 빌드하고 설치합니다.

  6. 애플리케이션의 서비스 클라이언트에 대해, 클라이언트 구성에서 verifySSL 옵션을 활성화합니다(해당 옵션이 아직 활성화되지 않은 경우).

libcurl을 사용하여 TLS 1.3을 적용하려면

TLS 1.3을 적용하려면 앞 섹션의 단계를 따르되 CURL_SSLVERSION_TLSv1_2 대신 CURL_SSLVERSION_TLSv1_3 옵션을 설정합니다.

Windows에서 특정 TLS 버전 적용

다음 절차에서는 WinHttp, WinINet 또는 IXMLHTTPRequest2를 사용하여 TLS 1.2 또는 TLS 1.3을 적용하는 방법을 보여줍니다.

사전 조건: Windows TLS 지원 결정

WinHttp을 사용해 TLS 1.2 또는 TLS 1.3을 적용하려면

WinHttp는 허용 가능한 보안 프로토콜을 명시적으로 설정하는 API를 제공합니다. 그러나 런타임 시에 이를 구성 가능하게 하려면 AWS SDK for C++의 소스 코드를 수정한 다음 다시 빌드해야 합니다.

  1. GitHub에서 AWS SDK for C++의 소스 코드를 다운로드합니다.

  2. aws-cpp-sdk-core/source/http/windows/WinHttpSyncHttpClient.cpp 파일을 열고 다음 코드 줄을 검색합니다.

    #if defined(WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_3)
    DWORD flags = WINHTTP_FLAG_SECURE_PROTOCOL_TLS1 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_1 |
            WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_3;
#else
    DWORD flags = WINHTTP_FLAG_SECURE_PROTOCOL_TLS1 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_1 | WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2;
#endif

if (!WinHttpSetOption(GetOpenHandle(), WINHTTP_OPTION_SECURE_PROTOCOLS, &flags, sizeof(flags)))
{
    AWS_LOGSTREAM_FATAL(GetLogTag(), "Failed setting secure crypto protocols with error code: " << GetLastError());
}

    현재 빌드 시스템에 TLS 1.3이 있는 경우 WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_3 옵션 플래그가 정의됩니다. 자세한 내용은 Microsoft 웹 사이트에서 WINHTTP_OPTION_SECURE_PROTOCOLSTLS 프로토콜 버전 지원을 참조하세요.

  3. 다음 중 하나를 선택합니다.

    • TLS 1.2를 적용하려면:

      #else 지시문 아래에서 flags 변수의 값을 다음과 같이 변경합니다.

      DWORD flags = WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_2;

    • TLS 1.3을 적용하려면:

      #if defined(WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_3) 지시문 아래에서 flags 변수의 값을 다음과 같이 변경합니다.

      DWORD flags = WINHTTP_FLAG_SECURE_PROTOCOL_TLS1_3;

  4. 앞서 설명한 코드 변경을 수행한 경우 https://github.com/aws/aws-sdk-cpp#building-the-sdk에 있는 지침에 따라 AWS SDK for C++를 빌드하고 설치합니다.

  5. 애플리케이션의 서비스 클라이언트에 대해, 클라이언트 구성에서 verifySSL 옵션을 활성화합니다(해당 옵션이 아직 활성화되지 않은 경우).

WinINet 및 IXMLHTTPRequest2를 사용하여 TLS 1.2를 적용하려면

WinINet 및 IXMLHTTPRequest2 라이브러리에 대한 보안 프로토콜을 지정하는 API는 없습니다. 따라서 AWS SDK for C++에서는 운영 체제의 기본값을 사용합니다. 다음 절차에 따라 TLS 1.2 사용을 강제 적용하도록 Windows 레지스트리를 업데이트할 수 있습니다. 다만, 그 결과는 Schannel에 의존하는 모든 애플리케이션에 영향을 미치는 전역적 변경 사항임을 유의하세요.

  1. 레지스트리 편집기를 열고 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols로 이동합니다.

  2. 해당 하위 키가 아직 없는 경우 TLS 1.0,, TLS 1.1, TLS 1.2 하위 키를 생성합니다.

  3. 각 하위 키 아래에 Client 하위 키와 Server 하위 키를 생성합니다.

  4. 다음 키와 값을 생성합니다.

     Key name                          Key type   Value
 --------                          ---------  -----
 TLS 1.0\Client\DisabledByDefault  DWORD      0
 TLS 1.1\Client\DisabledByDefault  DWORD      0
 TLS 1.2\Client\DisabledByDefault  DWORD      0
 TLS 1.0\Client\Enabled            DWORD      0
 TLS 1.1\Client\Enabled            DWORD      0
 TLS 1.2\Client\Enabled            DWORD      1

    TLS 1.2\Client\Enabled 키만 1로 설정되어 있습니다. 이 키를 1로 설정하면 TLS 1.2만 유일하게 허용되는 보안 프로토콜로 적용됩니다.

WinINet 및 IXMLHTTPRequest2를 사용하여 TLS 1.3을 적용하려면

WinINet 및 IXMLHTTPRequest2 라이브러리에 대한 보안 프로토콜을 지정하는 API는 없습니다. 따라서 AWS SDK for C++에서는 운영 체제의 기본값을 사용합니다. 다음 절차에 따라 TLS 1.3 사용을 강제 적용하도록 Windows 레지스트리를 업데이트할 수 있습니다. 다만, 그 결과는 Schannel에 의존하는 모든 애플리케이션에 영향을 미치는 전역적 변경 사항임을 유의하세요.

  1. 레지스트리 편집기를 열고 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols로 이동합니다.

  2. 해당 하위 키가 아직 없는 경우 TLS 1.0,, TLS 1.1, TLS 1.2, TLS 1.3 하위 키를 생성합니다.

  3. 각 하위 키 아래에 Client 하위 키와 Server 하위 키를 생성합니다.

  4. 다음 키와 값을 생성합니다.

     Key name                          Key type   Value
 --------                          ---------  -----
 TLS 1.0\Client\DisabledByDefault  DWORD      0
 TLS 1.1\Client\DisabledByDefault  DWORD      0
 TLS 1.2\Client\DisabledByDefault  DWORD      0
 TLS 1.3\Client\DisabledByDefault  DWORD      0
 TLS 1.0\Client\Enabled            DWORD      0
 TLS 1.1\Client\Enabled            DWORD      0
 TLS 1.2\Client\Enabled            DWORD      0
 TLS 1.3\Client\Enabled            DWORD      1

    TLS 1.3\Client\Enabled 키만 1로 설정되어 있습니다. 이 키를 1로 설정하면 TLS 1.3만 유일하게 허용되는 보안 프로토콜로 적용됩니다.