SSL이 90년대 후반에 TLS로 이름이 변경된 이유

• 1990년대 중반의 Netscape와 Microsoft의 브라우저 경쟁 속에서 SSL 프로토콜이 등장함
• SSL 2는 암호학적 및 실용적 결함이 있었고, 이를 토대로 Microsoft는 PCT 프로토콜을 도입함
• Netscape는 대응책으로 SSL 3.0을 개발해 주도권을 확보하려고 시도함
• 업계와 커뮤니티에서는 브라우저 간 호환성 유지를 희망해 IETF에 표준화 역할을 위임함
• 이 과정에서 프로토콜 이름이 TLS 1.0으로 변경되어 현재까지 이어짐

배경: 브라우저 경쟁과 보안 프로토콜의 탄생

• 1990년대 중반에는 Netscape와 Microsoft가 브라우저 시장에서 극심한 경쟁 구도를 형성함
• 경쟁 과정에서 Netscape가 SSL 프로토콜을 개발하게 되었음

SSL 2 및 문제점

• 최초 버전의 SSL은 암호학적 결함으로 곧바로 무력화되어 출시되지 않았음
• 실제로 배포된 SSL 2는 몇 년간 사용되었으나, 여러 암호학적 및 실용적 결함이 있었음
• 이 결함은 즉각적인 치명적 위기는 아니었으나, 개선의 필요성이 지속적으로 제기됨

Microsoft의 대응: PCT 프로토콜

• 경쟁 심화 속에서 Microsoft는 SSL 2에 자체적 기능을 추가해 PCT라는 프로토콜을 도입함
• PCT는 Internet Explorer(IE) 와 IIS에서만 지원되었음

Netscape의 새 전략: SSL 3.0

• Netscape 역시 SSL 2의 문제점을 개선하고자 했으나, Microsoft가 주도권을 잡는 것을 원치 않았음
• 이에 SSL 3.0을 개발, 기존과 뚜렷이 구분되는 변화를 추구함

브라우저 업계 표준화 협상

• 업계와 커뮤니티 구성원들은 프로토콜이 양분되는 것을 원하지 않았음(포크 현상 방지)
• Consensus Development(글쓴이가 근무한 곳)에서 Netscape와 Microsoft 대표자 회의를 주도함
  • 이 회의에는 Bruce Schneier(유명해지기 전 시점), Paul Kocher(SSL 3 설계자), Barbara Fox(Microsoft 대표) 등이 참석함

IETF의 표준화 및 명칭 변경

• 넷스케이프와 마이크로소프트 모두 IETF(Internet Engineering Task Force) 가 프로토콜의 표준화 과정을 주도하는 데 합의함
• 글쓴이는 IETF 표준 문서(RFC) 편집을 담당함
• 정치적 타협의 일환으로, SSL 3.0에 일부 변경을 가하고 이름도 새롭게 지정해야 했음(기존 프로토콜을 IETF가 ‘무조건 승인’하는 인상을 피하기 위함)
• 결과적으로 TLS 1.0이라는 명칭이 탄생했으며, 실제로는 SSL 3.1에 해당하는 프로토콜임

맺음말

• 지금 돌아보면, 이 모든 명칭 및 표준화 논의 과정이 다소 우스꽝스럽게 느껴짐