SSL 인증서 총 정리 (* 한국전자인증 2세대, WILD , Error )

 

Secure Sockets Layer ( SSL ) 개념정리

• SSL은 웹사이트와 브라우저 사이(또는 두 서버 사이)에 전송되는 데이터를 암호화하여 인터넷 연결을 보호하기 위한 표준 기술

TLS: 전송 계층 보안(Transport Layer Security), TLS은 SSL의 향상된, 더욱 안전한 버전이나 SSL 더욱 일반적으로 통용되고 있는 용어로 혼용하고 있다.

 

HTTPS: 하이퍼 텍스트 전송 프로토콜 보안(Hyper Text Transfer Protocol Secure)

• 공개 키 암호 : 서로 다른 두 개의 키로 데이터를 암호화하거나 서명하고 그 중 하나인 공개 키를 누구나 접근/사용할 수 있도록 하는 방식
• 암호화 키 : 암호화에서 키는 데이터를 변환하는 데 사용되는 정보 / 대개 큰 숫자와 숫자와 문자를 조합해서 만듦(의미없는 텍스트이며 암호화되지 않은 데이터(Plain Text)
• TLS 핸드쉐이크에서는 공개 키 암호화를 사용하여 원본 서버의 신원을 확인하고 세션 키 생성함.
• Http 와의 차이점 : S는 보안을 의미하며, SSL/TLS가 포함된 HTTP 프로토콜 통신 방법

 

SSL/TLS 동작방식

 

1.보안통신은 두 통신 대상이 보안 연결을 하고 공개 키 교환하는 TLS 핸드쉐이크

2. 핸드쉐이크 중에 세션키 생성, 세션 키는 TLS 핸드쉐이크 이후의 모든 통신을 암호화 및 해독

* 새 세션마다 다른 세션 키 사용

* TLS 사용 시 웹사이트에 전송하는 Http 데이터 및 웹사이트가 클라이언트 사용자에게 전송하는 http 데이터 모두 암호화

 

SSL 인증

• SSL 인증서는 웹 사이트 원본 서버에 설치된 파일
• 인증서는 공개 키와 웹 사이트 소유자의 신원 및 기타 정보가 포함된 데이터 파일
• SSL 인증서가 없으면 웹사이트의 트래픽을 TLS로 암호화를 할 수가 없음.

 

SSL 인증서 발급

• 인증 기관( 또는 CA )에서 SSL 인증서를 발급받은 다음 웹 서버에 설치
• 인증기관에서는 발급한 인증서의 사본을 별도로 보관
•  서버에서 인증서 서명 요청(CSR)을 생성 / CSR 데이터 파일에는 공개 키가 포함
• SSL 인증서의 가장 중요한 부분은 신뢰할 수 있는 인증 기관이 디지털 방식으로 서명
• 인증 기관이 조직과 그 도메인/웹사이트 발급한 SSL 인증서는 믿을 수 있는 제3자가 해당 조직의 신원을 인증했다는 것을 확인

 

---

 

한국전자인증 WILD 인증서 및 2세대 인증서 업데이트

 

 

[중요공지] DigiCert SSL인증서 루트.. : 네이버블로그 (naver.com)

[중요공지] DigiCert SSL인증서 루트/체인 업데이트 (2023.03.08실행)

 

 

DigiCert SSL Root 인증서가 변경이 23년 3월부로 업데이트됨

현재 1세대 Root 인증서도로 발급은 가능하며, 별도 요청이 없는 경우 2세대로 발급받는다

 

아래와 같이 특수한 형태로 인증서를 사용하는 경우, 추가 조치가 필요합니다.

[출처] [중요공지] DigiCert SSL인증서 루트/체인 업데이트 (2023.03.08실행)|작성자 한국전자인증SSL

■ 추가 조치 대상

조치대상	추가작업
- Root 인증서 Pinning 하는 경우	- Pinning 정보에 DigiCert Global Root G2 인증서 추가
- Root 인증서를 Hard Cording 하는 경우	- Hard Cording 정보에 DigiCert Global Root G2 인증서 추가
- 별도의 Trust store를 운영하는 경우	- 별도의 Trust Store에 DigiCert Global Root G2 인증서 추가
- 폐쇄망 환경에서 TLS/SSL 인증을 하는 경우	- 폐쇄망 클라이언트 PC에 DigiCert Global Root G2 인증서 추가
- Client의 OS 또는 Browser 버전이 낮은 경우 ※ 아래 최소 호환 버전 표 확인	- 낮은 버전의 Client에 DigiCert Global Root G2 인증서 설치
- Server to Server API 통신 시 요청 Server의 JAVA버전이 낮은 경우 ※ 아래 최소 호환 버전 표 확인	- JAVA cacerts에 DigiCert Global Root G2 인증서 추가

※ 구체적인 내용은 한국전자인증 기술팀 1588-1314 (내선 3번)으로 문의하시기 바랍니다.

 

 

와일드카드 Wildcard 인증서 형태

 

하나의 도메인 앞에 서브도메인을 무제한으로 사용 ( *.example.com )

*주의  * 앞의 서브 도메인이 붙는 경우 적용 X , Ex) m.*.example.com

 

 

---

 

SSL 인증서 갱신 간 이슈사항 / 이력

 

한국전자인증 측으로부터

개별 도메인별로 발급받은 SSL 인증서 구조를 WILD Card(와일드카드) 인증서를 적용시키고자 함.

 

WILD 2세대 인증서로 각 설정 진행하였음.

 

[환경] : 폐쇄/내부망에서 접근이 가능한 시스템 / WebTob 4.1.8.X

특정 시스템에서 https 로 리다이렉팅 되는 과정(추측)에서 Error가 발생되어 웹서버에서 설정한 에러 페이지로 리다이렉팅됨.추가조치대상으로 구분되는 폐쇄망 시스템으로 인지하였으나 기존 개별 도메인 인증서 반영된 걸 확인한 결과 2세대 루트인증서임을 확인한 상태

 

별도로 해당 WILD CARD 인증서 이슈사항이 있는 지에 대해서 확인을 해봤으나 별도로 나오진 않음.SSL 인증서는 단순 인증을 위한 키 파일 세팅일 뿐이며 루트 인증서 자체가 크게 다르지 않음

 

브라우저 개별 환경 설정으로 인한 문제인 지 점검이 필요* 일부 사용자에서만 발생* VIP로 도메인 접근 시 문제 발생됨, 직접 hosts 파일 수정하여 IP 로 붙을 시 이슈 확인 안됨.

 

SSL 인증서 후 문제가 되는 주요 사항

1. 잘못된 CSR을 생성이 되어서 인증서 신청 후 발급 받은 경우 -> 해당 경우인지 확인 불가, 시스템 WILD 에서 원복 후 갱신 대상(만료) 시스템에 대해서만 인증서 갱신 진행함.

 

2. 서버에 존재하는 개인키 삭제 / 변경 -> Key 내용 변조 X

 

3. 멀티도메인 또는 와일으카드 SSL 인증서 적용시 권장방법 무시한 경우-> 서브(*) 사이트에 SSL 적용은, 대상 사이트마다 각각 개별 적용-> 각 SSL Port의 경우 개별 도메인마다 다른 port를 바라볼 수 있도록 설정되어 충돌 이슈 X

 

4. 웹방화벽이 존재하는 경우, 웹서버에 적용만 하고 웹방화벽에는 적용 안하는 경우

-> 인프라 담당자와 확인하였으나 별도로 웹 방화벽이 없음.

 

5. 로드밸런싱(부하분산) 노드중 일부에만 인증서를 적용하는 경우

-> L4 담당자와 얘기하였으나 기존에도 인증서 적용한 이력은 없는 것으로 전달받음. ( L4 노드 관련 설정 및 Log 확인 )

 

 

~ ING 추후 업데이트 진행