브라우저가 웹사이트를 인증하려면 유효한 인증서 체인이 표시됩니다. 위에는 일반적인 체인이 표시되어 있으며 중간 인증서가 두 개 이상 있을 수 있습니다. 유효한 체인의 최소 인증서 수는 XNUMX개입니다.

루트 인증서는 인증 기관의 핵심입니다. 말 그대로 OS나 브라우저에 내장되어 있으며 장치에 물리적으로 존재합니다. 서버측에서는 변경할 수 없습니다. 장치의 OS 또는 펌웨어를 강제 업데이트해야 합니다.

보안 전문가 Scott Helme 기록, Let's Encrypt 인증 기관에서 주요 문제가 발생할 것입니다. 왜냐하면 오늘날 이 인증 기관은 인터넷에서 가장 인기 있는 CA이고 루트 인증서가 곧 손상될 것이기 때문입니다. Let's Encrypt 루트 변경 8년 2020월 XNUMX일 예정.

인증기관(CA)의 최종 및 중간 인증서는 서버에서 클라이언트로 전달되고, 루트 인증서는 클라이언트에서 전달됩니다. 이미있다, 따라서 이 인증서 모음을 사용하여 체인을 구축하고 웹사이트를 인증할 수 있습니다.

문제는 각 인증서에 만료 날짜가 있으므로 만료 날짜가 지나면 교체해야 한다는 것입니다. 예를 들어, 1년 2020월 XNUMX일부터 Safari 브라우저에서 서버 TLS 인증서의 유효 기간에 대한 제한을 도입할 계획입니다. 최대 398일.

이는 우리 모두가 최소한 12개월마다 서버 인증서를 교체해야 함을 의미합니다. 이 제한은 서버 인증서에만 적용됩니다. 아니 루트 CA 인증서에 적용됩니다.

CA 인증서는 다른 규칙 세트에 의해 관리되므로 유효성 제한도 다릅니다. 유효 기간이 5년인 중간 인증서와 서비스 수명이 25년인 루트 인증서를 찾는 것은 매우 일반적입니다!

중간 인증서에는 일반적으로 문제가 없습니다. 서버가 자체 인증서를 훨씬 더 자주 변경하므로 프로세스에서 중간 인증서를 간단히 교체하기 때문에 서버가 클라이언트에 제공하기 때문입니다. 루트 CA 인증서와 달리 서버 인증서와 함께 교체하는 것은 매우 쉽습니다.

이미 말했듯이 루트 CA는 클라이언트 장치 자체, OS, 브라우저 또는 기타 소프트웨어에 직접 구축됩니다. 루트 CA를 변경하는 것은 웹사이트의 통제 범위를 벗어납니다. 이를 위해서는 OS 또는 소프트웨어 업데이트 등 클라이언트 업데이트가 필요합니다.

일부 루트 CA는 매우 오랫동안 존재해 왔으며 약 20~25년 정도 되었습니다. 곧 가장 오래된 루트 CA 중 일부는 수명이 다해 수명이 거의 다 되어가게 됩니다. CA가 새로운 루트 인증서를 생성하고 수년 동안 OS 및 브라우저 업데이트를 통해 전 세계에 배포되었기 때문에 대부분의 경우 이는 전혀 문제가 되지 않습니다. 하지만 누군가가 오랫동안 OS나 브라우저를 업데이트하지 않았다면 이는 일종의 문제입니다.

이 상황은 30년 2020월 10일 48:38:XNUMX GMT에 발생했습니다. 이때가 바로 그때다. AddTrust 루트 인증서가 손상되었습니다. Comodo 인증 기관(Sectigo)에서.

저장소에 새로운 USERTrust 루트 인증서가 없는 레거시 장치와의 호환성을 보장하기 위해 교차 서명에 사용되었습니다.

안타깝게도 레거시 브라우저뿐만 아니라 OpenSSL 1.0.x, LibreSSL 및 gnuTLS. 예를 들어 셋톱박스에서는 년, 서비스 헤로 꾸, Fortinet의 Chargify 애플리케이션, Linux용 .NET Core 2.0 플랫폼 및 많은 다른 사람.

최신 브라우저는 두 번째 USERTRust 루트 인증서를 사용할 수 있으므로 문제는 레거시 시스템(Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 등)에만 영향을 미치는 것으로 가정되었습니다. 그러나 실제로 무료 OpenSSL 1.0.x 및 GnuTLS 라이브러리를 사용하는 수백 개의 웹 서비스에서 실패가 시작되었습니다. 인증서가 오래되었다는 오류 메시지와 함께 더 이상 보안 연결을 설정할 수 없습니다.

다음 - 암호화하자

다가오는 루트 CA 변경의 또 다른 좋은 예는 Let's Encrypt 인증 기관입니다. 더 4 월 2019 년 그들은 Identrust 체인에서 자체 ISRG 루트 체인으로 전환할 계획을 세웠지만 이는 일어나지 않았다.

Let's Encrypt는 성명을 통해 "안드로이드 기기에 ISRG 루트가 채택되지 않는다는 우려로 인해 기본 루트 전환 날짜를 8년 2019월 8일에서 2020년 XNUMX월 XNUMX일로 옮기기로 결정했습니다"라고 밝혔습니다.

루트 CA가 모든 클라이언트에 널리 배포되지 않은 경우 "루트 전파"라는 문제, 더 정확하게는 루트 전파 부족으로 인해 날짜가 연기되어야 했습니다.

Let's Encrypt는 현재 IdenTrust DST 루트 CA X3에 연결된 교차 서명된 중간 인증서를 사용합니다. 이 루트 인증서는 2000년 30월에 발급되었으며 2021년 1월 XNUMX일에 만료됩니다. 그때까지 Let's Encrypt는 자체 서명된 ISRG Root XXNUMX로 마이그레이션할 계획입니다.

ISRG 루트는 4년 2015월 XNUMX일에 출시되었습니다. 이후 인증기관 승인절차가 시작되어 종료되었습니다. 6 8월 2018 년. 이 시점부터 운영 체제 또는 소프트웨어 업데이트를 통해 모든 클라이언트가 루트 CA를 사용할 수 있게 되었습니다. 업데이트를 설치하기만 하면 됩니다.

하지만 그게 문제입니다.

휴대폰, TV 또는 기타 장치가 1년 동안 업데이트되지 않은 경우 새로운 ISRG 루트 XXNUMX 루트 인증서에 대해 어떻게 알 수 있습니까? 그리고 시스템에 설치하지 않으면 Let's Encrypt가 새 루트로 전환되는 즉시 장치에서 모든 Let's Encrypt 서버 인증서가 무효화됩니다. 그리고 Android 생태계에는 오랫동안 업데이트되지 않은 오래된 기기가 많이 있습니다.

안드로이드 생태계

이것이 바로 Let's Encrypt가 자체 ISRG 루트로의 이동을 지연하고 여전히 IdenTrust 루트로 내려가는 중간체를 사용하는 이유입니다. 그러나 어떤 경우에도 전환이 이루어져야 합니다. 그리고 루트 변경 날짜가 지정됩니다. 8 июля 2020 года.

ISRG X1 루트가 장치(TV, 셋톱 박스 또는 기타 클라이언트)에 설치되어 있는지 확인하려면 테스트 사이트를 엽니다. https://valid-isrgrootx1.letsencrypt.org/. 보안 경고가 나타나지 않으면 일반적으로 모든 것이 정상입니다.

Let's Encrypt만이 새로운 루트로 마이그레이션해야 하는 문제에 직면한 것은 아닙니다. 인터넷상의 암호화가 사용되기 시작한 것은 불과 20년 전이므로 이제 많은 루트 인증서가 곧 만료되는 시기입니다.

수년 동안 스마트 TV 소프트웨어를 업데이트하지 않은 스마트 TV 소유자에게는 이 문제가 발생할 수 있습니다. 예를 들어, 새로운 GlobalSign 루트 R5 루트 는 2012년에 출시되었으며 일부 오래된 스마트 TV에는 이 루트 CA가 없기 때문에 체인을 구축할 수 없습니다. 특히, 이들 클라이언트는 bbc.co.uk 웹사이트에 대한 보안 연결을 설정할 수 없었습니다. 문제를 해결하기 위해 BBC 관리자는 트릭을 사용해야 했습니다. 우리는 이러한 고객을 위한 대체 체인을 구축했습니다. 이전 루트를 사용하여 추가 중간 인증서를 통해 R3 루트 и R1 루트, 아직 썩지 않은 것입니다.

www.bbc.co.uk(리프) GlobalSign ECC OV SSL CA 2018(중급) GlobalSign Root CA - R5(중급) GlobalSign Root CA - R3(중급)

이는 임시 해결책입니다. 클라이언트 소프트웨어를 업데이트하지 않으면 문제가 해결되지 않습니다. 스마트 TV는 본질적으로 Linux를 실행하는 제한된 기능의 컴퓨터입니다. 그리고 업데이트가 없으면 루트 인증서가 필연적으로 부패하게 됩니다.

이는 TV뿐만 아니라 모든 기기에 적용됩니다. 인터넷에 연결되어 있고 "스마트" 장치로 광고되는 장치가 있는 경우 썩은 인증서 문제는 거의 확실하게 해당 장치와 관련이 있습니다. 장치가 업데이트되지 않으면 시간이 지남에 따라 루트 CA 저장소가 오래되어 결국 문제가 표면화됩니다. 문제가 발생하는 시기는 루트 저장소가 마지막으로 업데이트된 시기에 따라 다릅니다. 이는 장치의 실제 출시일보다 몇 년 전일 수 있습니다.

그건 그렇고, 일부 대형 미디어 플랫폼이 Let's Encrypt와 같은 최신 자동화 인증 기관을 사용할 수 없는 이유는 바로 이것이 문제라고 Scott Helme은 썼습니다. 스마트 TV에는 적합하지 않으며, 루트 수가 너무 적어 레거시 장치에서 인증서 지원을 보장할 수 없습니다. 그렇지 않으면 TV에서 최신 스트리밍 서비스를 시작할 수 없습니다.

AddTrust와 관련된 최근 사건은 대규모 IT 회사조차도 루트 인증서가 만료된다는 사실에 대비하지 못하고 있음을 보여주었습니다.

문제에 대한 해결책은 업데이트뿐입니다. 스마트 장치 개발자는 소프트웨어 및 루트 인증서를 업데이트하기 위한 메커니즘을 미리 제공해야 합니다. 반면, 보증 기간이 만료된 후에 제조업체가 장치의 작동을 보장하는 것은 수익성이 없습니다.

출처 : habr.com