문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 유해 사이트 (문단 편집) ==== HTTPS ==== 패킷 감시 및 변조는 패킷이 암호화되지 않았을 때, 즉 [[http://http.badssl.com|HTTP]] 연결에서만 사용이 가능하다. 즉 [[TLS]] 암호화를 이용해 암호화를 하는 [[https://hsts.badssl.com|HTTPS]] ('''H'''yper'''T'''ext '''T'''ransfer '''P'''rotocol '''S'''ecure) 연결의 경우에는 차단할 수 없다. 애초에 HTTPS 자체가 이러한 중간자의 패킷 변조를 막기 위한 목적도 가지고 있다. 다만 KISA가 [[https://self-signed.badssl.com|허위 인증서]]를 제공하여서 [[중간자 공격]]을 할 가능성도 이론적으로는 배제할 수는 없다. 그러나 이 방법은 보안 문제가 너무 크고 국가 이미지가 엄청나게 깎여나갈 우려가 있어서 실행이 불가능하다. 허위 인증서로 파밍과 중간자 공격을 할 수 있어서, 인터넷 보안을 관리 감독하는 KISA에서 불법 사이트를 막겠다고 인터넷 자체를 망가뜨리는 짓거리를 할 가능성은 없을 뿐더러, [[브라우저]]를 만들고 있는 [[구글]]과 [[모질라]]에서는 허위 인증서 발급에 상당히 민감하다. [* 이러한 보안 프로토콜의 취약점은 향후 웹브라우저 제조사에서 위험경고를 띄울 가능성이 매우 크다. 자신들의 서버에서 인증서를 비교하는 간단한 방법과 상대 국가이용자에게서 제공받은 인증서와 비교하는 복잡한 방법이 있다. 또는 더 저렴한 해시코드를 가져와서 비교한다거나.]한국에서 시만텍을 대행해 인증서를 발급하던 한국전자인증은 인증서 부정발급으로 [[http://www.etnews.com/20170330000389|퇴출될 위기이고.]] [[http://blog.alyac.co.kr/1250|결국에는 퇴출 당했다.]] [[금순공정|중국]]에서도 인증서를 위장 발급한 적이 있었고, 결국 퇴출당했다. 물론, [[황금방패]]를 운용중인 [[중국]]에서는 [[VPN]] 서버들을 손 보는 것 만으로는 미심쩍다 싶었는지 지금은 [[DPI]]와 [[기계학습]]을 동원한 TLS 패킷 드랍까지 시행하고 있다. 그러나 굳이 허위 인증서로 중간자 공격을 하지 않더라도, 현재 TLS 통신 표준의 헛점을 이용하여 차단하는 방법도 있다. TLS 통신에서 쓰이는 인증서는 IP가 아닌 도메인을 기준으로 발급되는데, 클라우드 서비스 등 한 IP에서 여러개의 서비스(사이트)가 연결되는 경우 어떤 도메인의 인증서를 제공해야 하는지 판단하기 위해 클라이언트에서 [[SNI]]라는 도메인 정보를 포함하는 패킷을 보내며, 이 패킷은 암호화되지 않은 평문 상태로 보내지므로 도메인 정보를 통해 패킷을 차단할 수 있게 된다. 이 방법으로 실제 [[Signal Private Messenger]]가 차단된 바 있다. 대한민국 문화체육관광부도 이 방법을 이용하여 불법 해외사이트를 차단할 수 있도록 기술 개발을 하겠다고 발표했는데, 이에 대한 내용은 [[2018년 해외 불법 사이트 차단]] 문서를 참조. 이 SNI 패킷의 암호화 통신을 위한 작업이 클라우드플레어, 애플, 모질라를 주축으로 실행되고 있다. 사용 방법은 [[https://m.blog.naver.com/hentai1783/221369904441|여기]]를 참조. TLS 1.2 버전 이하에서는 서버에서 인증서를 암호화하지 않고 전송했기 때문에 인증서의 내용에서 도메인을 추출하는 방법도 있었는데, 최신 표준인 TLS 1.3부터는 인증서가 암호화되므로 도메인을 추출할 수 없다. 위에 기술한 [[SNI]] 패킷 기반 차단은 2019년 2월 11일부터 적용되고 있다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기