Private Root 인증서를 브라우저 Root 인증서 저장소에 등록하라고 한다면?
글쓴이: 김정균 / 작성시간: 금, 2009/08/21 - 3:59오전
현재 KLDP는 인증이든 뭐든 SSL을 지원하지 않고 있습니다. 즉 여러분들이 사용하시는 인증 정보가 평문으로 날라 다닌다는 의미 입니다.
이는 곧 저나 kldp 서버에 로그인 할 수 있는 사람이 악의적인 마음을 먹는다면 user/pw를 가로챌 수 있다는 것을 의미합니다.
저도 이 점이 마음에 들지 않는지라, SSL을 사용하자니 인증서 가격이 만만치 않고요. 예전에 KLDP.net에 윤석찬님이 도와 주셔서 verysign 인증서를 사용한 적이 있었는데, 이도 1년 밖에 지원이 되지 않아 1년후에 또 SSL을 사용하지 않게 되었던 history도 있습니다.
그래서, 만약에, KLDP의 Private CA Root key를 여러분의 Root 인증서 저장소에 저장을 하라고 하고, SSL self sign certificate로 SSL을 지원한다면 여러분들은 사용하시겠습니까? 이는 저나 KLDP CA Root 인증서를 만질 수 있는 권한을 가진 사람(현재로서는 저 뿐이고, 능력이 된다면 순선님이 가능 합니다. ^^)이 이 인증서를 가지고 사기를 치지는 않을거야라는 믿음이 있어야 합니다만..
만약 이 글에 대한 반응이 좋더라도 이 정책이 수립이 될지는 모르겠습니다. 일단 운영진간의 토론도 있어야 하고.. 다만 운영진에 제기 하기 전에 실제 end user단에서의 private root key를 Root 인증서에 등록하라고 강요하는 점에 대해서 어떻게 생각하는지 궁금해서 한번 여쭈어 봅니다.
댓글
그냥 인증서 지원
그냥 인증서 지원 받으시죠. :) 저만해도 kldp 접속을 위해서 사용하는 브라우저가 4개가 넘는데 모두 root 인증서를 업데이트하라는건 현실적인 해결방안이 아니라고 봅니다.
--
익스펙토 페트로눔
--
익스펙토 페트로눔
인증서 지원이
인증서 지원이 1년으로 끊어진다는 것이 문제입니다. :-) 한번 지원 받는 것은 어떻게든 되겠지만 지속적인 지원은 어려우니까요. 1년마다 인증서 지원 때문에 머리를 썩히는 것도 괴로울 테고요.
현재 인증을 사용하는 사이트가
kldp.org
kldp.net
wiki.kldp.org
정도가 되네요. 더군다나, *.kldp.net 까지 필요할지는 모르겠지만, 이게 필요하다면 또 머리가 아프겠죠 ^^;
SSL을 적용할 때 가장 간단한 방법이 통채로 SSL을 사용하게 하는 방법인데, 부분적으로만 SSL을 사용하게 하는 것도 KLDP의 software 관리 정책과 맞지가 않는지라.. 고민을 하게 됩니다.
kldp.org 와 wiki.kldp.org
kldp.org 와 wiki.kldp.org 은 *.kldp.org 인증서가 있어도 같이 쓸 수 없습니다. 인증서가 두 개
(kldp.org 하나, *.kldp.org 하나)와 IP가 두 개 있어야 합니다. 와일드카드 인증서도 무지 비싸고...
(통상 인증서의 4배 정도?)
그리고 인증서 2년 이상도 파는데 지원받을때 오래 가는걸로 받는것도 방법이겠죠. :)
--
익스펙토 페트로눔
--
익스펙토 페트로눔
당연히 kldp.org 와
당연히 kldp.org 와 *.kldp.org 를 같이 쓰지는 못하지만, 이렇게 하면 IP 2개면 되거든요. 개별로 가면 도메인 만큼 필요하게 되고.. :-)
KLDP 개인정보보호법에 해당되는 것인가요?
그렇다면 정상적인 방법으로 가는 쪽이 나을 것 같습니다.
--
B/o/o/k/w/o/r/m/
--
Minimalist Programmer
전 보안을 중요하게
전 보안을 중요하게 생각하기 때문에 ssl사용을 찬성하고
이왕이면 돈안드는 사설 인증기관도 괜찮다고 보는데
제가ssl를 어설프게 알고 있는지라 하나 물어보고 싶은데...
사설 인증서를 쓰게 되면 클라이언트인 저희는 브라우저의 설정에
KLDP CA Root를 신뢰할 수 있는 기관이라고 등록만 해주면 되는거지 않나요?
그리고 관리자 분이 사기에 대해 말씀하셨는데....
제가 알고 있는 지식으론 브라우저에 이런 등록을 하더라고 별로 사기칠 방법이 없을거 같은데
사기치는 경우가 먼지 궁금합니다.
(절대 못 믿어서가 아니라 호기심입니다...제가 ssl을 잘 모르고 있는거 같기도하고요)
개인 pw를 알수 있으시다는건가요?
인생은 도박이다.
단일도메인용 무료
단일도메인용 무료 인증서로 StartCom 추천합니다.
익스플로러 경고메세지 쯤은 가볍게 무시하고요.
(개인의 판단에 의해 StartCom Root CA 를 등록할 수도 있겠고요.)
유료로 한다면 comodossl 이 쌉니다.
verisign 은 엄청 비싸죠. 못할만합니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/
https://xenosi.de/
이게 문제입니다.
이게 문제입니다. 가상 호스트 대응이 안되거든요. 그래서 사설 Root Certificate를 만들고, 이를 이용해서 *.kldp.org *.kldp.net 에 대한 인증서를 만드려고 하는 것입니다.
단일 인증서로 사용을 하려면 IP Based Virtual Host를 이용하든지, port를 변경해야 한느데, 후자는 좀 그렇고 (일 부분만 SSL을 타게 하려는 것이 아니니..) 전자는 IP가 부족하죠 :-)
KLDP에서의 SSL사용은 KLDP에서는 최대한 개인정보를 취급하지 않기 때문에, 평문으로 돌아다니는 User/Password를 암호화 해서 전송하자는 것이 목적입니다.
물론, 원하는 사람만 ssl을 이용하도록 http/https를 동시에 지원하는 방법도 있을 것이고, 일괄 https로 보내는 방법을 할 수 도 있을 것이고, 그냥 http를 계속 사용하는 것도 한 방법이고.. 뭐 결정된 것은 아직 없다는..
그리고, 개인적으로 StartCom 은 IE가 안된다면 사설 Root Certificate랑 다를 바 없다고 생각이 됩니다. ^^;
P.S
Chrome은 IE의 인증서 저장소를 같이 사용하더군요. FF와 TB는 각각 다른 저장소를 사용하고..
찬성합니다.
액티스X가 아닌 것만 해도 감지덕지입니다.
----
God take what you would.
----
God take what you would.
저도 찬성합니다.
KLDP 접속용 사설인증서라면 얼마든지 루트에 등록하렵니다.
베리사인 인증받을 돈으로 소화 잘 되는 고기 사서 구워먹는 편이~~ ^^;
송효진님이 말씀하신
송효진님이 말씀하신 startcom도 괜찮고 또는 몇몇 배포판에 포함되어 있는 cacert의 인증도 괜찮을것 같습니다.
각종 os,브라우저등의 지원상황은 http://wiki.cacert.org/wiki/InclusionStatus 에서 보실 수 있습니다.
물론 kldp의 자체서명인증은 신뢰할만할거라 생각됩니다 :)
굳이 *.kldp.org 가 아니더라도
굳이 와일드카드를 쓰지 않더라도
Subject Alternative Name 확장필드를 이용해서 한개의 인증서로 kldp.org, subdomains.kldp.org, kldp.net, subdomains.kldp.net 을 모두 지원할 수 있습니다.
이미 StartCom을 비롯한 꽤나 많은 CA에서 이런 기능을 지원하고 있습니다.
(단 StartCom에서 이 기능을 이용하기 위해서는 Class 2 인증을 받아야 하는데, 이는 유료입니다)
Subject Alternative Name
Subject Alternative Name 이거 예전에 해 보려다가 안되서 포기했었는데, 이번에 다시 보니 좀 허무하더군요.
commonName=oops.org
subjectAltName=DNS:*.oops.org
이렇게 테스트 했었는데.. subjectAltAname을 사용하려면 CN이 무시가 되는 것이었네요.
commonName=oops.org
subjectAltName=DNS:oops.org,DNS:*.oops.org
이렇게 하니 되더군요. ㅋㅋ
Multiplle CN 은.. IE와 Chrome은 인식을 하는데, Firefox가 인식을 하지 못하는 문제가 있고.. 역시 subject alternative name을 이용하는 것이 가장 깔끔 하네요.
계속해서 StartCom 이
계속해서 StartCom 이 언급되고 있는데,
IE에 등록이 되어있지 않다면 고려대상이 아니라고 생각합니다.
여기 글 남기신 분들이야 StartCom 인증서를 직접 등록하는데 아무 거부감이 없겠지만
KLDP는 모두에게 열린 곳이니까요...
접근에 불편함이 없어야 하는것 아닐까요.
꼭 IE에 등록된 CA 여야한다면
일단 IE에 등록이 되어있지 않다고 해서 고려대상에서 빼버리면,
사설 root CA는 모조리 사용불가능하게 됩니다.
그렇다고 1년마다 버려야하는 비싼 상용 CA의 인증서를 매년 운영진들이 자비로 충당하거나 스폰서받기도 어려운 노릇이고요. 그래서 상대적으로 저렴한 comodo CA, 또는 반쪽짜리 CA인 StartCom, CAcert 등이 거론되고 있는 것이지요.
불행 중 다행인지, StartCom 관계자에 의하면 MS에서 최근 Trusted root CA로 승인한 것 같습니다. 아마 9월 말 쯤에 root CA 업데이트가 될 예정이라고 하네요.
http://blog.startcom.org/?p=205
사실 이 업체에 대한 내용을 더 언급하면 정말 심각한 광고가 될까봐 이 내용을 적어야하나 고민했습니다만... 사설 root CA에 대해 거부반응을 보이시는 분들도 꽤나 계신 것 같아서 남깁니다.
만약 상용CA 쪽으로 가야한다면 제 생각에는 9월 말까지 기다려보고 결정하는 것도 괜찮을 것 같습니다.
MD5 라고 하나요?
MD5 라고 하나요?
암호를 평문전송하지 않고 서버가 키값을 주면
클라이언트가 암호로 조합한 값을 서버로 넘기고
서버에서 검증해서 인증하는 방식이 예전부터 있잖아요
이것만 자체적으로 구현해도 암호를 평문전송하는것은 막을수 있을듯 한데요
-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.
-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.
이 방법이 의외로 괜찮을 수도 있습니다.
예전에 야후에서도 자바스크립트로 MD5를 구현해서 SSL 없이 패스워드 부분만 보호하는 방법을 사용했었죠.
(지금은 SSL로 바꾸었더군요)
제 생각에도 패스워드를 제외한 내용들은(ID 등등) 스니핑되어도 그리 심각하지 않아 보입니다. 물론 세션 하이재킹 같은 또 다른 문제들은 논외로 본다고 가정했을 때의 의견입니다.
댓글 달기