Spring Boot에서 TLS 1.3을 사용하여 안전한 HTTPS 요청 보내기

이번 포스트에서는 Spring Boot 애플리케이션에서 TLS 1.3을 사용하여 안전한 HTTPS 요청을 보내기 위한 방법을 설명합니다. 이를 위해 Apache HttpComponents 라이브러리를 사용하여 RestTemplate을 구성하는 방법을 다룹니다

1. TLS란?

TLS(Transport Layer Security)는 네트워크 통신을 암호화하여 보안을 제공하는 프로토콜입니다. TLS는 데이터의 기밀성과 무결성을 보장하며, 안전한 통신을 위해 HTTPS에서 사용됩니다.

2. 왜 TLS 1.3을 사용하는가?

TLS 1.3을 사용하는 이유는 다음과 같습니다:

1. 보안 강화: TLS 1.3은 이전 버전보다 향상된 암호화 알고리즘과 보안 기능을 제공하여 보안을 강화합니다.
2. 성능 향상: 핸드셰이크 과정이 단순화되어 연결 설정 시간이 단축되고 성능이 향상됩니다.
3. 호환성: 최신 브라우저와 클라이언트는 TLS 1.3을 기본적으로 지원하며, 이를 통해 호환성을 보장합니다.

3. Gradle 의존성 추가

Spring Boot에서 TLS 1.3을 지원하는 RestTemplate을 설정하기 위해 필요한 Apache HttpComponents 의존성을 build.gradle 파일에 추가합니다:

저는 가장 최신 버전인 5.4-alpha2 5.3-alpha2 를 찾아서 설정했습니다.

mvnRepository 참고

dependencies {
    // 기타 종속성

   // Apache HttpComponents dependencies
    implementation group: 'org.apache.httpcomponents.client5', name: 'httpclient5', version: '5.4-alpha2'
    implementation group: 'org.apache.httpcomponents.core5', name: 'httpcore5', version: '5.3-alpha2'
}

4. RestTemplateConfig 클래스 작성

RestTemplate을 TLS 1.3을 사용하도록 설정하기 위해 RestTemplateConfig 클래스를 작성합니다. 최신 버전의 Apache HttpComponents 라이브러리를 사용하여 SSL 컨텍스트와 연결 풀을 구성합니다.

RestTemplateConfig.java

package enha.eodilo.config;

import org.apache.hc.client5.http.impl.classic.CloseableHttpClient;
import org.apache.hc.client5.http.impl.classic.HttpClients;
import org.apache.hc.client5.http.impl.io.PoolingHttpClientConnectionManager;
import org.apache.hc.client5.http.impl.io.PoolingHttpClientConnectionManagerBuilder;
import org.apache.hc.client5.http.ssl.DefaultClientTlsStrategy;
import org.apache.hc.core5.ssl.SSLContextBuilder;
import org.apache.hc.core5.ssl.TLS;
import org.apache.hc.core5.util.Timeout;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.web.client.RestTemplate;

import javax.net.ssl.SSLContext;
import java.security.KeyManagementException;
import java.security.NoSuchAlgorithmException;
import java.security.KeyStoreException;

@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate() throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException {
        SSLContext sslContext = SSLContextBuilder.create()
                .loadTrustMaterial(null, (chain, authType) -> true) // 모든 인증서를 신뢰하도록 설정
                .build();

        DefaultClientTlsStrategy tlsStrategy = new DefaultClientTlsStrategy(sslContext);

        PoolingHttpClientConnectionManager connectionManager = PoolingHttpClientConnectionManagerBuilder.create()
                .setTlsStrategy(tlsStrategy)
                .setDefaultTlsConfig(tlsConfig -> tlsConfig
                        .setHandshakeTimeout(Timeout.ofSeconds(30)) // 핸드셰이크 30초 제한
                        .setSupportedProtocols(TLS.V_1_3)) // TLS 1.3 사용
                .build();

        CloseableHttpClient httpClient = HttpClients.custom()
                .setConnectionManager(connectionManager)
                .build();

        HttpComponentsClientHttpRequestFactory factory =
                new HttpComponentsClientHttpRequestFactory(httpClient);

        return new RestTemplate(factory);
    }
}

설명

1. SSLContext 설정: SSLContextBuilder를 사용하여 TLS 1.3을 설정합니다.

2. SSLContext sslContext = SSLContextBuilder.create() .loadTrustMaterial(null, (chain, authType) -> true) // 모든 인증서를 신뢰하도록 설정 .build();


3. PoolingHttpClientConnectionManager 구성: PoolingHttpClientConnectionManagerBuilder와 DefaultClientTlsStrategy를 사용하여 SSL 소켓 팩토리를 설정하고 연결 풀을 구성합니다.`

4. DefaultClientTlsStrategy tlsStrategy = new DefaultClientTlsStrategy(sslContext); PoolingHttpClientConnectionManager connectionManager = PoolingHttpClientConnectionManagerBuilder.create() .setTlsStrategy(tlsStrategy) .setDefaultTlsConfig(tlsConfig -> tlsConfig .setHandshakeTimeout(Timeout.ofSeconds(30)) // 핸드셰이크 30초 제한 .setSupportedProtocols(TLS.V_1_3)) // TLS 1.3 사용 .build();


5. CloseableHttpClient 생성: 구성된 PoolingHttpClientConnectionManager를 사용하여 CloseableHttpClient를 생성합니다.

6. CloseableHttpClient httpClient = HttpClients.custom() .setConnectionManager(connectionManager) .build();


7. HttpComponentsClientHttpRequestFactory 사용: CloseableHttpClient를 사용하여 HttpComponentsClientHttpRequestFactory를 생성하고, 이를 RestTemplate에 설정합니다.
   
   
8. HttpComponentsClientHttpRequestFactory factory = new HttpComponentsClientHttpRequestFactory(httpClient); return new RestTemplate(factory);

5. 테스트 및 사용

이제 설정이 완료된 RestTemplate 빈을 사용할 준비가 되었습니다. RestTemplate을 사용하는 서비스 클래스에서 자동 주입하여 HTTPS 요청을 보낼 수 있습니다.

MyService.java

@Service
public class MyService {

    @Autowired
    private RestTemplate restTemplate;

    public String getSecureData() {
        ResponseEntity<String> response = restTemplate.getForEntity("https://secure.example.com/api/data", String.class);
        return response.getBody();
    }
}

6. 참고 자료

이번 설정 변경 전에 setSSLSocketFactory 및 SSLConnectionSocketFactoryBuilder의 deprecation 문제가 있어 최신 라이브러리에서는 더 이상 권장되지 않기 때문에 이를 대신하여 DefaultClientTlsStrategy 와 PoolingHttpClientConnectionManagerBuilder 를 사용하여 TLS 설정을 구성하였습니다.

'setSSLSocketFactory(org.apache.hc.client5.http.socket.LayeredConnectionSocketFactory)' is deprecated  
'org.apache.hc.client5.http.ssl.SSLConnectionSocketFactoryBuilder' is deprecated  

Apache HttpComponents Migration Guide를 참고하여 해결했습니다.

마무리

이전 포스팅

mac springboot 로컬 개발 환경에서 SSL 인증서 생성하기 (mkcert 사용)

 

과 많이 연계가 되는 내용이다. 실제로 나는 이전 설정(SSL)을 한 후에 이 포스팅 내용을 진행했기 때문이다.

TLS 1.3 HttpComponents SSL 등 말로만 들었지 정리가 안된 내용들이 많았는데 이번 포스팅을 하면서 다시 정리해보는 기회를 가져서 좋았다.

 

웹개발을 하다보면 꼭 구성해야하는 내용이기에(SSL 세팅을 하지않으면 크롬등 여러곳에서 불이익이 있을 수 있다.) 정리가 꼭 필요했다.

또한 setSSLSocketFactory 및 SSLConnectionSocketFactoryBuilder 가 deprecated 되었다는 내용도 아무리 stackoverflow 로 검색을 해도 나오지 않았는데,
역시 이럴때는 공식 문서를 보는게 맞다는 생각이 들었다.

---