XETOWN

하얀 언덕

웹사이트를 운영하면서 생긴 고민이나 노하우를 함께 나눠보세요.
조회 수 352 추천 수 3 댓글 10
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

무료 SSL 인증서로 유명한 중국계 업체인 WoSign과 그 계열사1)인 StartCom(StartSSL)에서 발급한 인증서를 모질라(파이어폭스)와 구글(크롬)에서 더이상 신뢰하지 않는 것을 고려하고 있다고 합니다.

 

도메인 소유권 인증 절차에 심각한 버그가 있어서 몇 차례나 해커들이 엉터리 인증서를 얻을 수 있었고, 인증서 일련번호가 중복되는 등 관리가 엉망으로 되고 있으며, 중국 고객들을 위해 일부러 발급일자와 유효기간을 조작한 인증서를 발급했다는 의혹도 받고 있네요.

 

당장 언제부터 신뢰하지 않겠다는 계획은 아직 발표되지 않았지만, 모질라 측의 보고서에서는 특정 날짜 이후에 신뢰하지 않겠다고 하면 그 전에 발급한 것으로 인증서를 조작해서 우회하려고 시도하지 않겠느냐, 좀더 강력한 조치가 필요하다는 얘기까지 나오고 있는 상황이라... 분위기가 무척 험악합니다 ㄷㄷ

 

https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

 

만약 브라우저들이 WoSign과 StartCom(StartSSL) 인증서를 신뢰하지 않게 되면 해당 인증서를 사용하는 사이트는 접속이 아예 안 되거나 대문짝만한 보안 경고가 뜰 수도 있으니, 미리 다른 업체의 인증서로 바꾸거나 한동안 브라우저 개발사들의 정책 변화를 잘 지켜보시기 바랍니다. (XE타운도 포함!!!)

 

무료 인증서는 Let's Encrypt, 유료 인증서는 Comodo PositiveSSL을 권합니다. 해외에서 직구하면 1년에 3~4달러입니다. 호환성이나 보안성은 다 거기서 거기입니다.

 

1) StartCom은 서양에서 꽤 오랫동안 신뢰를 쌓아온 업체이기 때문에, 작년에 WoSign에서 인수했다는 사실조차 알려지지 않도록 하려고 어지간히 애를 썼다고 합니다. 이스라엘에 있는 StartCom 본사는 그대로 두고 영국과 홍콩에 페이퍼컴퍼니를 설립하여 우회적으로 운영하고 있다는 듯... 신뢰를 사고파는 SSL 인증서 발급업체가 대체 무슨 짓인지 ㅠ

 

Who's 기진곰

profile

GitHub 아이디는 @kijin입니다. 사람을 위한 인터넷 생태계의 발전과 웹 보안에 많은 관심을 가지고 있습니다.

오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영하고 있습니다.

우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.

국내외 서버 및 클라우드서버 셋팅, 이전, 튜닝해 드립니다.

  • profile
    CONORY 2016.09.27 21:45:35
    헐ㄷㄷ
    StartCom이 인수됬다니... 그러고보니, 갑자기 사이트 디자인이 바꼈을때부터 군요..;;
  • ?
    misol 2016.09.27 22:54:11
    StartCom 분석 부분은 정말 어마어마하네요... 모질라 커뮤니티가 조사 많이 했네요
  • profile
    기진곰 2016.09.27 23:59:23
    구글과 모질라가 운영하는 CT(certificate transparency)라는 것이 정말 대단하더군요. 세상에서 발급되는 모든 인증서를 수집, 분석해서 인증서 발급업체들의 내부사정을 파악하고 비리를 포착하는데...
  • profile
    포커스 2016.09.28 00:07:49

    충격과 공포네요.. 인증서 발급 업체가 이런 사실을 감추려고 했다는 것 자체가..

    P.S. 그럼 StartSSL Class 2 이상 인증서(일정 금액의 돈을 지불하여 발급받은 인증서)를 발급받은 사이트들은 어떻게 되는건가요? 당장 라엘님 블로그만 봐도 StartSSL Class 2 이상 인증서가 적용되어있는데..

  • profile
    기진곰 2016.09.28 00:22:08
    구글과 모질라가 어떤 결정을 내리는지에 달려 있지요. 무료 인증서만 거부할지 유료 인증서까지 모두 거부할지... 마음만 먹으면 회사 하나 공중분해시켜 버릴 수도 있는 것이 브라우저 개발사의 파워니까요.
  • profile
    라엘 2016.09.28 02:23:47

    다 읽어봤는데, Wosign과 StartCom이 신뢰문제가 있어서 모질라 프로그램에서 관련 인증을 거부할 것이라는 거네요.

    인증거부일은 곧 정해지며, 인증거부일 이후에 발급된 인증서는 모질라 계열 프로그램에서 거부하게 바뀝니다. (그 전에 발급된 인증서는 유효).
    인증거부는 최소 1년간 지속된다고 합니다. 이 후 Mozilla Trust Program 에 참여하면 제한을 풀어준다네요.

    미리 발급된 인증서는 계속 신뢰처리되니 사용하시면 되고, 인증거부일이 정해지면 직전에 인증서 갱신을 해두는게 낫겠네요.

  • profile
    기진곰 2016.09.28 09:50:47
    "WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots." (11페이지)
  • profile
    라엘 2016.09.28 10:44:48

    "제한을 피하기 위해, 과거의 사례처럼 발급일을 조작해서 인증서를 발급한다면 모든인증서를 거부하겠다." 라는 경고를 하고 있는데,
    본문의 We plan to distrust only newly-issued certificates to try and reduce the impact on web users. 라는 문구를 통해 추측해봤을때 reduce the impact 를 위해서 유예기간을 주지 않을까 싶네요.

  • profile
    기진곰 2016.10.02 00:07:55

    업데이트: 모질라와 구글이 꾸물거리는 사이 애플이 먼저 움직였네요. 9월 19일 이후 발급된 WoSign 인증서를 신뢰하지 않도록 하는 보안패치를 모든 애플 제품에 곧 적용하겠다고 합니다. StartSSL에 대해서는 언급이 없고요.

  • profile
    다이오니 2016.10.02 02:32:31
    본문도 수정해주시면 더 보기 좋을 것 같습니다!

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
108 운영이야기 친구들하고 소규모 커뮤니티 운영해보려고합니다. 조언부탁드립니다. 22 Overachiever 2016.11.28 144
107 운영이야기 백업을 증분백업으로 그것도 원격으로 해 놓으니 좋네요. 6 웹지기 2016.11.25 89
106 운영 노하우 TIP spambot에 대응하기 2 휘즈 2016.11.21 75
105 운영 노하우 TIP 임대형 vs 구매형 서버 가격 비교 팁 [수정] 3 기진곰 2016.11.10 176
104 토론/고민 열심히 게임을 만들었는데 아무도 안해주니 참 절망스럽네요... 13 bowon 2016.11.10 213
103 운영 노하우 TIP 네이버 웹마스터도구를 통해 어느순간 색인이 안될때 3 file 가브리엘조 2016.11.06 118
102 토론/고민 XE 3.0이 자리잡을 수 있을까요? 15 dd 2016.10.25 198
101 운영이야기 네이버 웹문서 검색이 또 개편되었네요 8 file 아싸리방가 2016.10.19 198
100 토론/고민 사이트맵 검색도구 어떻게 활용하고 계신가요? 1 이온디 2016.10.18 208
99 운영 노하우 TIP HTTP2 사이트 최적화하기 1 고라자 2016.10.15 140
98 운영이야기 포인트를 사용하라고 기프티콘을 올려도... 7 빵집아저씨 2016.10.03 129
97 운영이야기 알림센터 이런기능 있으면 좋겠네요.. 2 빵집아저씨 2016.09.29 111
96 운영 노하우 TIP SEO에서 제목이 중요 ? 내용이 중요? 4 file 웹지기 2016.09.29 155
95 운영 노하우 TIP nginx "Server" 응답헤더 제거하기 2 후하니 2016.09.28 143
» 운영이야기 WoSign 또는 StartSSL 인증서 사용하시는 분들 필독 10 기진곰 2016.09.27 352
93 운영이야기 타운 팁 덕분에 후원하기 버튼을 만들어 봤습니다. 6 file 빵집아저씨 2016.09.27 126
92 운영이야기 클라우드플레어 한국/미국/일본 접속 속도 비교 15 기진곰 2016.09.25 261
91 운영 노하우 TIP 간단하게 IP국가 알아보기 3 file 후하니 2016.09.25 134
90 운영 노하우 TIP 스케치북 스킨 사용시 가끔씩 아주 느려지는 문제 해결팁 11 기진곰 2016.09.19 208
89 운영이야기 사이트 개설전, 주제 때문에 고민이 됩니다 ^^ 12 빵집아저씨 2016.09.18 140
Board Pagination Prev 1 2 3 4 5 6 Next
/ 6
위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...