XETOWN

분수 광장

특정한 주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 548 추천 수 1 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

https://www.xetown.com/slope/384230

https://www.xetown.com/square/407027

위 두 글과 이어집니다.

 

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

모질라, 애플에 이어 구글도 움직였습니다. 모질라와 동일하게 10월 21일 이후 발급된 모든 StartSSL/WoSign 인증서가 비신뢰 처리됩니다. 다만 모든 10월 21일 전에 발급된 인증서가 해당되지는 않으며, 인증서가 구글의 인증서 투명성 정책을 위반한 경우(본인이 소유하지 않은 도메인에 대해 발급된 인증서 등) 등 일부 인증서는 발급일과 상관없이 차단될 수 있다고 합니다.

 

구글은 한술 더 떠서 이후 점차적으로 예외를 줄여나가다가 어느 순간에는 모든 WoSign/StartSSL 인증서를 차단할 계획이라고 합니다. 

 

모질라는 StartSSL이나 WoSign에서 새로운 루트 CA 인증서를 제출한다면 루트 인증서 전환을 위해 일정 기간을 제공해 줄 용의가 있다고 밝혔습니다. StartSSL/WoSign에서도 이에 맞추어 새로운 루트 인증서를 발급하고 영향을 받는 모든 인증서를 교체해 줄 것이라 밝혔습니다.

 

하지만 새로운 루트 인증서가 발급되려면 https://bugzilla.mozilla.org/show_bug.cgi?id=1311832에 명시된 요구사항들을 만족해야 하기에 빠른 시일내 다시 새로운 인증서 제출은 힘들 것으로 보이며, 설사 새로운 인증서를 제출한다 해도 모질라 제품에서만 해당되는 것으로(모질라 제품은 운영체제의 루트 인증서 목록을 사용하지 않습니다) 윈도우 등 운영체제에서도 이를 반영해주어야 하는 데다가 이를 사용자가 업데이트로 받아야 하므로 교차 서명이 있으니 업데이트 문제는 없겠지만 어느 회사가 문제 있는 회사 인증서를 교차 서명하려 해줄지 의문입니다.

 

결론은 앞으로 1년간은 StartSSL/WoSign 인증서는 비신뢰된 것으로 생각하는 것이 편할 것으로 보입니다.

 

추가)StartCom이 망해가니 모회사 치후360이 직접 나서네요. WoSign CEO였던 리처드 왕을 자르고 그동안 WoSign 아래에 있던 StartCom을 직접 운영한다고 합니다. 

 

http://www.theregister.co.uk/2016/10/10/heads_roll_as_qihoo_360_moves_to_end_wosign_startcom_certificate_row/

  • profile
    기진곰 2016.11.07 13:05:59

    이렇게 될 것을 예상했는지, 얼마 전부터 3년짜리 인증서를 남발하고 있더군요. 1년짜리 인증서는 영업정지(?) 기간 안에 갱신 날짜가 돌아오니까 다른 업체에 고객을 빼앗기게 되지만, 3년짜리는 어떻게든 그 전에 루트 인증서를 다시 등록하면 되니까 꼼수를 부리는 듯 해요 ㅋ

  • profile
    하늘희 2016.11.07 13:40:28
    약 1년 뒤에 고민해봐야 겠네요...
  • profile
    라엘 2016.11.07 14:05:11
    대체할만한건 Let's Encrypt 뿐이겠군요.
  • profile
    고양이 2016.11.07 16:23:47
    무료인증서의 별 StartCom 인증서가 저무나요?

위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...