웹브라우저는 인증서 중에서 '신뢰할 수 있는 루트 인증기관' 을 어떻게 구별하나요?

dalili의 이미지

인터넷 익스플로러 옵션에 들어가면 인증서에 관한 탭이 있습니다

거기에서 '신뢰할 수 있는 루트 인증기관'이라고 해서 제가 인증서를 다운 받지 않았음에도 불구하고 다운로드 된 인증서들이 있습니다

VeriSign, GlobalSign, Microsoft Root Authority, thawte 등등이 있군요

웹브라우저는 도대체 뭘 보고 위 기관에서 발급한 인증서를 설치하나요?

이 질문을 하는 이유는 openssl로 발급자의 정보를 VeriSign과 동일하게 해서 인증서를 만들었지만, 웹브라우저로 ssl 웹서버 접속시 자동으로 인증서를 다운받고 설치 하지 않아서 그렇습니다

아는분에게 여쭤보니 일반 개인이 발급자정보 고쳐서 인증서 만들어서 사용하는 것이 되면은, 누가 돈주고 인증서를 발급 받냐고 하더군요

왜 안된다는 이유를 모르겠습니다

아시는분 자세히 설명좀 해주세요

--------- 요약 ---------

용어를 잘 모르고 올린 질문이라 두서가 없는것 같아서 다시 정리 하겠습니다

일반 개인이 Root CA를 만들어서, 그 Root CA 인증서를 자동으로 배포할 수 있는 방법에 관한 질문이었습니다

godyang의 이미지

Quote:
인터넷 익스플로러 옵션에 들어가면 인증서에 관한 탭이 있습니다

거기에서 '신뢰할 수 있는 루트 인증기관'이라고 해서 제가 인증서를 다운 받지 않았음에도 불구하고 다운로드 된 인증서들이 있습니다

VeriSign, GlobalSign, Microsoft Root Authority, thawte 등등이 있군요

웹브라우저는 도대체 뭘 보고 위 기관에서 발급한 인증서를 설치하나요?


일단 대략적인 CA(인증기관) 운영 가이드 라인이 있습니다.
이는 국가나 단체마다 약간씩은 달라질 수 있습니다.
일본 CA 가이드라인 : http://www.electronicmarkets.org/issues/volume-7/volume-7-issue-2/v7n2_yasuda0.pdf
EV인증서 가이드라인 : http://cabforum.org/EV_Certificate_Guidelines_V11.pdf

그리고 각 웹브라우저 제작업체나 단체마다 해당 root CA를 받아들일 것인가를 결정하는 별도의 정책도 있습니다.
마이크로소프트 예 : http://technet.microsoft.com/en-us/library/cc751157.aspx
이 때문에 몇몇 CA 들은 특정 웹브라우저에서만 기본 탑재되어 있죠.

Quote:
이 질문을 하는 이유는 openssl로 발급자의 정보를 VeriSign과 동일하게 해서 인증서를 만들었지만, 웹브라우저로 ssl 웹서버 접속시 자동으로 인증서를 다운받고 설치 하지 않아서 그렇습니다

인증서 자체가 신원확인을 대신 증명해주는 자료입니다.
이름만 동일하게 해서 인증이 된다면 흔히 말하는 피싱 사이트와 다를바가 없죠.

물론 워낙 많은 CA들이 난잡하다보니, 정장 필요한 신원확인보다 돈 받아먹는데 혈안이 되어있긴 합니다만...
이를 해결하기 위해서 EV인증서가 탄생했죠.
근데 아이러니컬하게도 EV인증서를 구입하기 위해서는 돈을 더 쏟아부어야 하죠 :)

dalili의 이미지

그런데 이름만 동일하게 하면 왜 안되는지도 설명 좀 해주세요
이름을 똑같이 해서 제가 만든 인증서와, VeriSign에서 만든 인증서가 무슨 차이가 있나요?

Stand Alone Complex의 이미지

인증서를 신뢰할 수 있을지 판단할때 이름만 가지고 판단하지 않습니다.
차이점이 궁금하시면 님이 만드신 인증서와 윈도우에 있는 인증서를 export해서 비교해보세요.

RET ;My life :P

godyang의 이미지

가장 큰 차이는 내부의 공개키와 개인키가 다르다는 것입니다.
이름은 단지 키에 붙어져 있는 이름표 껍데기에 불과하죠.

그럼 또 궁금한게 생기죠?
공개키와 개인키를 복사하면 되지 않느냐?
당연히 이렇게 하기가 거의 불가능하고, 이게 암호화 알고리즘의 핵심입니다.

공개키와 개인키, 암호화 알고리즘 등에 대해서 잘 모르신다면 관련 자료를 먼저 보시기 바랍니다.
꽤나 방대하고 전문적인 내용이라 여기서 다 언급드리긴 어려울 것 같습니다.
http://wiki.kldp.org/HOWTO/html/SSL-Certificates-HOWTO

bushi의 이미지

2년전인가 국내 모회사에서 자신을 '신뢰할 수 있는 root ca'로 부정등록하는 일이 있었습니다.
http://kldp.org/node/78373

OTL

dalili의 이미지

제가 하려는게 이건데요

bushi의 이미지

링크된 글에서 말하다시피 범법행위 입니다만, ActiveX 만세라는거죠.

OTL

chungsy02의 이미지

여러 분들이 써 준 이야기를 종합하자면

1. VeriSign이 발행한 인증서와 똑같은 인증서를 다운 받게 할 수 없는 이유는 ssl 서버가 VeriSign이 가진, 혹은 그 하위 CA가 가진 개인키(Private Key)를 갖고 있지 않기 때문입니다.

2. 임의로 root CA가 되는 방법은 godyang님께서 링크하신 http://wiki.kldp.org/HOWTO/html/SSL-Certificates-HOWTO를 참조하시면 될 것 같습니다.

3. 물론 임의로 root CA가 되면 그 root CA의 인증서는 웹브라우저에 기본으로 포함되어있지 않기 때문에 수동으로 설치하도록 해야 하고, 그 이후에 그 인증서를 기반으로 발급한 새로운 인증서는 자동으로 다운받게 될 것입니다.

bushi님께서 링크하신 기사는 root CA의 인증서가 웹브라우저에 (수동으로) 설치된 이후의 일에 대해서 우려하는 기사인 것 같습니다. 어떤 집단에서 내부적으로 root CA를 두는 건 상관없지만 (물론 내부적으로 적절한 규정이 필요하겠지요.) 자격을 갖추지 않은 제 3자가 root CA가 되는 경우를 걱정하는 것 같습니다.

송효진의 이미지

StartCom 은 무료로 ssl 인증서를 발급해 주는데,
MS 에는 Root CA 로 등록이 안되어 있습니다. 무료이기 때문일것 같습니다.

유료의 경우 상품에 따라 손해배상 몇$ 가 표기되어 있죠.
손해배상금을 타 간 사례가 있는지, 실질적으로 타 갈 수 있는지는 모르겠지만,

Root CA 로 등록된 유료 업체들은 보안+보험 회사라고 생각합니다.
해킹 손해보험 하나 드는거죠.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/

godyang의 이미지

최근에 StartCom에서는 CA/Browser Forum 에도 가입했고, Root CA 인증서를 MS 등의 웹브라우저에 기본탑재하기 위해서 물밑작업을 한창 하고 있는 듯 보이더군요.

재미있는게 Class 1 레벨의 인증서가 비록 무료이긴 하나, 최대 $10,000 의 보험을 제공하고 있다는 사실입니다.
(물론 효진님 말씀처럼 받아먹은 사례가 있는지는 의문이긴 합니다만...)

cjh의 이미지

신뢰할 수 있는 최상위 인증서는 일정 기준에 따라 (physical security라고 하던데 정확하게 어떤 절차를 거치는지는 잘 모르겠습니다) 브라우저에 기본 탑재되어 있습니다. 어떻게 하면 브라우저에 기본 탑재되는지는 마이크로소프트나 mozilla, opera와 같은 브라우저 회사에서 결정하는 것으로 압니다. 사실 여기 포함이 안되면 상용 인증서를 발행하는 것이 불가능하지만 루트 인증서라는게 모두 회사에서 운영하는 것이라 그 신뢰도를 논하고자 한다면 끝이 없겠지요.

개인이 root CA를 만들어서 브라우저에 탑재하는 것도 가능합니다. 브라우저마다 인증서 관리 메뉴가 있어서 직접 형식에 맞게 만들어 넣으시면 됩니다.
http://en.wikipedia.org/wiki/CAcert.org 이런데도 있으니까요. 단 모든 사람이 그 루트 인증서를 설치하고 있는건 아니므로 일정 그룹 내에서만 배포가 가능하겠죠.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

dalili의 이미지

저희 회사 제품에는 Root CA 인증서를 만들어서 그 제품을 사용하는 집단 내의 사람들에게 인증서 설치하라고 수동으로 배포하거든요
임의로 만든 Root CA는 수동으로 설치했으니까 그 하위로 생성되는 인증서는 자동으로 설치가 됩니다
그런데 이것도 불법이라는 소리군요

Root CA를 수동으로 배포하는게 번거로운것 같기도 해서, 자동으로 배포 되는 방법을 생각해 보는 중이었습니다
아직 초짜라 잘 이해가 안되지만, 읽다 보니까 좀 알거 같네요

Root CA가 자동으로 설치되게 하려면, MS익스플로러에 등록이 되어 있어야는데 개인이 만든 Root CA는 등록이 안되어 있어서 자동으로 설치가 안된다는게 맞죠?

MS쪽 문서에 다음과 같이 쓰여져 있군요

Root certificates are updated on Windows Vista automatically. When a user visits a secure Web site (by using HTTPS SSL), reads a secure email (S/MIME), or downloads an ActiveX control that is signed (code signing) and encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate. If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.

godyang의 이미지

상황에 따라 불법이 될 수도 안될 수도 있습니다.

국내 인터넷 뱅킹과 같이 법률적으로 국가에서 공인한 CA만 허용되는 경우에는
임의의 Root CA 인증서를 설치해서 마치 공인 CA인 것처럼 속이는 행위는 불법입니다.

하지만 이 외의 상황에서 추가적인 사설 Root CA 인증서를 설치하는 것은 사용자 마음입니다.
단, 반드시 해당 사용자의 동의를 얻어야 하겠죠.
동의없이 설치한다면 이건 피싱 사이트가 하는 짓이나 다를바가 없으므로, 불법이 될 소지가 다분합니다.

따라서 가능하면 자동설치보다는 수동설치를 하길 권장합니다.
정 귀찮으면 다음의 사이트를 참조해서 웹으로 설치하는 방법도 고려해볼 수 있고요.
http://www.startssl.com/?app=24

만약 1. 어느정도 규모가 큰 회사이고, 2. 윈도우즈의 Active Directory 기능을 이용해서 특정 도메인에 모든 컴퓨터가 소속되어 있고, 3. 해당 Root CA를 회사 내부에서만 사용할 계획이라면, Active Directory의 관리기능을 이용해서 인증서를 배포하는 것도 가능한 걸로 알고 있습니다.
하지만 직접 해보진 않았네요. ^^;

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.