Unofficial SSL 연결 지원 (수정)

김정균의 이미지

사용자 편의를 생각하다 보니, 좀 간과를 하고 지나간 점이 있었던 것 같습니다. 이전 공지를 보시고
KLDP CA 인증서를 설치 하신 분들께는 KLDP CA 인증서를 삭제를 권고 드립니다.

일단, 쾌적한 SSL환경을 비공식 적으로나 제공하려 했던 부분은 법률적으로 걸리는 부분이 너무 많은 것 같습니다.

1. KLDP CA key 유출 시의 도용 문제
2. KLDP CA key 유지 보수 관련 법률적 관리 준수 사항

등등.. 비공식적이라도 일단 법률적인 책임을 회피하기 위해서도 할일이 너무 많습니다.

최종적으로, https protocol을 열어 놓기만 하겠습니다. 인증서 에러에 대해서는 각자 판단을 하셔서 https protocol을 사용하실 것인지 아닌지를 직접 판단 하시면 되겠습니다.

FF의 경우에는 예외 처리 등록을 하시면 KLDP CA 인증서를 등록하신 것 처럼 쾌적(?)하게 사용하실 수 있습니다. IE와 Chrome의 경우 예외 처리가 되지 않게 되어 있어.. 인증서 에러를 보셔야 할 겁니다.

나중에 제가 돈 많이 벌면.. public certificate를 사서 기증(?)해 보도록 하겠습니다. :-) 아니면.. StartCom 의 class 2 인증서를 (*.kldp.org, *.kldp.net) 2개를 후원해 주셔도 감사하겠습니다. ^^; 다만 갱신도 보장해 주셔야 합니다. (별로 기대 안한다는 의미입니다. ㅋㅋ)

관리자 주제: 

댓글

bushi의 이미지

경고문에 몇 줄 더 추가하셔야 할 것 같습니다.

kldp 키가 도난당하지 않는다는 보장이 없고, 도난당한 kldp 키를 이용해 만들어진 피싱사이트에 접속할 때 여러분은 어떤 경고도 받지 못합니다.
이러한 피싱사이트를 이용하면서 발생한 모든 물질적,정신적 피해에 대해 kldp 는 책임이 없습니다.
신뢰할 수 없는 기관을 root CA 에 등록함으로써 발생할 수 있는 모든 문제들에 대해 전적으로 본인이 책임을 진다는 것에 동의하지 않는다면 즉시 이 페이지를 떠나십시오.
사실... kldp 가 책임을 지고 싶지 않다고 해서 법적 책임을 회피할 수 있는지는 잘 모르겠습니다.

아시겠지만 "피싱사이트" 문제는 kldp 사칭의 문제와는 다른 문제입니다.
어떤 이름으로도 root CA가 서명한 인증서를 만들 수 있습니다.
kldp 키를 훔쳐서 shinhan-financials.com 따위에 대해 인증서 서명을하고 https:// 로 접속을 유도한다면,
kldp 를 root CA 로 등록한 사용자들은 아무런 경고도 받지 못하고 적법한 사이트를 이용하는 것으로 착각합니다.

IE 는 잘모르겠지만...
firefox/thunderbird 에선 self-sign 등의 부적절한 인증서에 대해 개별 사이트를 "예외목록"에 추가하는 방식으로 "경고창"이 뜨지 않도록 만들 수 있습니다.
이건 root CA 를 등록하는 것과는 차원이 다릅니다.

OTL

김정균의 이미지

사실... kldp 가 책임을 지고 싶지 않다고 해서 법적 책임을 회피할 수 있는지는 잘 모르겠습니다.

음.. 이 부분은 좀 고민이 되는 내용이군요.
아무래도 예외 처리 쪽으로 유도를 하는 것이 맞겠군요. "법적 책임의 범위"에 대해서 좀 간과한 것 같습니다.

김정균의 이미지

일단, IE의 경우 예외 처리가 되지 않네요. 무조건 신뢰된 루트 인증서 저장소에 CA 인증서가 없으면 무조건 에러 처리를 하도록 되어 있네요. Chrome도 IE의 인증서 저장소를 같이 사용하다 보니 동일한 문제가 있군요.

법률적인 문제를 보니, CA 인증서 관리에 관한 부분도 있는데, 이 부분도 만족하지 못할 것 같군요. 즉, "나 책임지지 않으니 알아서 판단해라!" 라는 것이 법률적으로 통할 수 있어야만 서비스가 가능할 것 같군요. --;

bushi의 이미지

네... 구글같은 검색엔진에 노출된 https:// 링크를 타고 들어올 IE,chrome 사용자들에게서 잔소리 좀 듣겠군요.

(liferea 1.5.6 버전 이후에 포함된 webkit renderer 에선 군소리 없이 https:// 접속이 되네요)

OTL

pok의 이미지

Quote:
firefox/thunderbird 에선 self-sign 등의 부적절한 인증서에 대해 개별 사이트를 "예외목록"에 추가하는 방식으로 "경고창"이 뜨지 않도록 만들 수 있습니다.
이건 root CA 를 등록하는 것과는 차원이 다릅니다.

제가 잘몰라서 그러는데, FF에서 root CA로 인증서를 예외등록 할 수 있나요?
인증서 예외추가를 하면 FF 설정의 '웹서버 인증서'라는 항목에서 Cert와 그에 해당하는 사이트만 등록하는 방식인것 같은데, 이것이 trust chain의 root CA로 FF에서 사용될 수 있을것 같지는 않거든요.

예외처리 항목을 root CA로 등록시킬만한 어플은 없을것 같은데, 혹시 그런게 있는지 궁금하네요.
(위와 같은 어플만 없다면 제기하신 shinhan-financials.com 문제는 안발생 할 것 같습니다.)


poklog at http://poksion.cafe24.com/poklog/

bushi의 이미지

pok의 이미지

링크 감사드립니다.
근데 제가 궁금한건 파이어폭스에서 예외를 통해 root CA 등록이 가능한가 여부였습니다.
kldp.org Cert가 파이어폭스라는 클라이언트에 root CA로만 등록이 되지 않으면 trust chain을 타고 올라갈때 끊겨서 별 문제 없을것 같아서요. (어차피 kldp로 만들어진 trust chain 을 파폭이 신뢰하지 않을테니까요.)


poklog at http://poksion.cafe24.com/poklog/

bushi의 이미지

무슨 말씀을 하시는 지 아직도 이해를 못하겠습니다.

혹시나 싶어 말씀드리는데, 원본 발제글은 지금 보시는 것과는 다른 내용이었습니다.
kldp 를 파이어폭스 및 IE 에 root CA 로 등록하는 방식으로 https://kldp 가 가능함을 소개하고,
사설 인증소를 root CA 로 등록하는 구체적인 방법이 적힌 wiki 페이지로 연결되는 링크를 제공하고 있었습니다.
물론 kldp cert 를 직접 다운로드할 수 있는 링크도 있었고요.

OTL

pok의 이미지

아하. 원문발제글이 지금 글과 달랐군요.
http://kldp.org/node/108130 요 링크와 관련있는 내용이었나보네요..

그리고 궁금해서 FF에서 CA의 등록을 찾아보니, http://kldp.org/node/104403 관련내용이 있었네요. 원문에는 저런식으로 인증서를 등록해서 사용하는 방법이 적혔있었나 보군요.

FF에 root CA를 등록하는게 개인인증서라는 이름으로 가능했군요... 조금 무섭...


poklog at http://poksion.cafe24.com/poklog/

송효진의 이미지

StartCom class 2 인증서가 그냥 멀티도메인 되는것 아닌가요? x2 결제를 해야 하나요?

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/

김정균의 이미지

흠.. kldp.org 에 *.kldp.org, *.kldp.net 을 동시에 넣을 수 있나요? 내용으로 보면 지정한 도메인에 대해서 *을 넣어 주는 것으로 봤는데요. 그래서 kldp.org/kldp.net 2개가 필요하다고 본 겁니다. 기술적으로야 한개의 인증서에 다 넣을 수 있겠지만 말이죠.

송효진의 이미지


어째 링크 눌러서 들어가면 제대로 언급이 없는데,
조기에서는
Wild Cards, Multiple Domain Names (UCC)
라고 한번에 언급이 되어 있어서요.
되는거면 제 도메인 하는김에 함께 넣어서 신청해 버리면 될거라 생각하고
경험담 좀 올려달라고 적었었는데 반응이 없네요. :q

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/

bushi의 이미지

http://www.startssl.com/?app=40

SAN(Subject Alternative Name) 과 UCC(Unified Communications Certificate) 가 같은 말인가요 ? 지식이 없어서...

OTL

김정균의 이미지

음 그 앞에서는 DAN(Domain Alternative Name) 이라고 해 놓았군요. 이거 꽤 헷갈리게 되어 있는 걸요 ^^; 일단 SAN이라는 언급은 안보이는 군요. 설마 DAN이나 UCC가 Multiple CN을 의미하는 건 아니겠죠. (용어가 헷갈리니..) Multiple CN은 FF가 인식을 못하는데..

godyang의 이미지

지금까지 StartCom 측에서 발급한 인증서를 살펴봤을때, Multiple CN 형태로 발급된 인증서는 없는 것 같습니다.
전부 SAN 으로 발급되어 있네요.

그리고 확인을 안해서 까먹고 있었는데...
이제 StartCom CA 인증서가 윈도우 쪽에도 기본적으로 내장되도록 업데이트되었네요.
EV인증서 기능도 잘 동작하는 것을 보니, 확실히 내장된 것 같습니다.
 

만약 StartCom을 쓰지않고 kldp 자체 인증서를 사용하면서 CA로 악용되는 것을 방지하려면,
Basic Constraints 값을 이용해서 CA로의 사용을 막아버리고, 자체서명 쪽으로 대처하면 될 것 같네요.
추가적으로 Key Usage, Extended Key Usage 값 등도 손봐야겠지만요.
물론 이렇게 할 경우, 실질적인 CA로서의 기능은 포기하셔야 합니다만...

꼬랑지를 더 추가하면...

Quote:
SANs SSL certificates are often referred to as Unified Communications Certificates (UCC) or multi domain SSL certificates.
참고 : http://www.totallyglobalsign.com/uccsans

dgkim의 이미지

인증서 후원은 어떻게 하나요? 제 이름으로 발급받은 인증서를 드리는 것은 맞지 않고, 비용부분만 드리면 될 것 같은데요.

김덕곤
mailto:comy01@gmail.com
jabber:dgkim@dgkim.net
http://www.dgkim.net
No Spams!

송효진의 이미지

PayPal donate 버튼 하나 달아놓으심이...

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/

댓글 달기