30์ 17์ผ ๋ชจ์คํฌ๋ฐ ์๊ฐ 01์ 3๋ถ, ์ปค๋ฎค๋ํฐ์์ ๊ด๋ฆฌํ๋ Let's Encrypt ์ธ์ฆ ๊ธฐ๊ด(ISRG Root X1)์ ๋ฃจํธ ์ธ์ฆ์๋ฅผ ๊ต์ฐจ ์๋ช ํ๋ ๋ฐ ์ฌ์ฉ๋ IdenTrust ๋ฃจํธ ์ธ์ฆ์(DST Root CA XXNUMX)์ ๋ชจ๋ ์ฌ๋์๊ฒ ๋ฌด๋ฃ๋ก ์ธ์ฆ์๋ฅผ ์ ๊ณตํ๋ฉฐ ๋ง๋ฃ๋ฉ๋๋ค. ๊ต์ฐจ ์๋ช ์ ํตํด Let's Encrypt ์ธ์ฆ์๋ ๋ค์ํ ์ฅ์น, ์ด์ ์ฒด์ ๋ฐ ๋ธ๋ผ์ฐ์ ์์ ์ ๋ขฐํ ์ ์์ผ๋ฉฐ Let's Encrypt์ ์์ฒด ๋ฃจํธ ์ธ์ฆ์๋ ๋ฃจํธ ์ธ์ฆ์ ์ ์ฅ์์ ํตํฉ๋์์ต๋๋ค.
์๋๋ DST ๋ฃจํธ CA X3์ ์ฌ์ฉ์ด ์ค๋จ๋ ํ Let's Encrypt ํ๋ก์ ํธ๊ฐ ๋ฃจํธ ์ธ์ฆ์๋ง ์ฌ์ฉํ์ฌ ์๋ช ์ ์์ฑํ๋๋ก ์ ํํ ๊ณํ์ด์์ง๋ง, ์ด๋ฌํ ์ด๋์ผ๋ก ์ธํด ๊ทธ๋ ์ง ์์ ๋ค์์ ์ด์ ์์คํ ๊ณผ์ ํธํ์ฑ์ด ์์ค๋ ์ ์์ต๋๋ค. Let's Encrypt ๋ฃจํธ ์ธ์ฆ์๋ฅผ ์ ์ฅ์์ ์ถ๊ฐํฉ๋๋ค. ํนํ, ์ฌ์ฉ ์ค์ธ Android ์ฅ์น์ ์ฝ 30%์๋ Let's Encrypt ๋ฃจํธ ์ธ์ฆ์์ ๋ํ ๋ฐ์ดํฐ๊ฐ ์์ต๋๋ค. ์ด ์ธ์ฆ์๋ 7.1.1๋ ๋ง์ ์ถ์๋ Android 2016 ํ๋ซํผ๋ถํฐ ์ง์๋ฉ๋๋ค.
Let's Encrypt๋ ์๋ก์ด ๊ต์ฐจ ์๋ช ๊ณ์ฝ์ ์ฒด๊ฒฐํ ๊ณํ์ด ์์์ต๋๋ค. ์ด๋ ๊ณ์ฝ ๋น์ฌ์์๊ฒ ์ถ๊ฐ ์ฑ ์์ ๋ถ๊ณผํ๊ณ ๋ ๋ฆฝ์ฑ์ ๋ฐํํ๋ฉฐ ๋ค๋ฅธ ์ธ์ฆ ๊ธฐ๊ด์ ๋ชจ๋ ์ ์ฐจ ๋ฐ ๊ท์น ์ค์ ์ธก๋ฉด์์ ์์ ๋ฌถ๊ธฐ ๋๋ฌธ์ ๋๋ค. ํ์ง๋ง ๋ค์์ Android ๊ธฐ๊ธฐ์์ ๋ฐ์ํ ์ ์๋ ๋ฌธ์ ๋ก ์ธํด ๊ณํ์ด ์์ ๋์์ต๋๋ค. ๋์ฒด ๊ต์ฐจ ์๋ช Let's Encrypt ์ค๊ฐ ์ธ์ฆ์๊ฐ ์์ฑ๋ ํ๋ ์์ํฌ ๋ด์์ IdenTrust ์ธ์ฆ ๊ธฐ๊ด๊ณผ ์๋ก์ด ๊ณ์ฝ์ด ์ฒด๊ฒฐ๋์์ต๋๋ค. ๊ต์ฐจ ์๋ช ์ 2.3.6๋ ๋์ ์ ํจํ๋ฉฐ ๋ฒ์ XNUMX๋ถํฐ Android ์ฅ์น์ ๋ํ ์ง์์ ์ ์งํฉ๋๋ค.
๊ทธ๋ฌ๋ ์๋ก์ด ์ค๊ฐ ์ธ์ฆ์์๋ ๋ค๋ฅธ ๋ง์ ๋ ๊ฑฐ์ ์์คํ ์ด ํฌํจ๋์ง ์์ต๋๋ค. ์๋ฅผ ๋ค์ด DST ๋ฃจํธ CA X3 ์ธ์ฆ์๊ฐ 30์ 1์ผ์ ๋ ์ด์ ์ฌ์ฉ๋์ง ์์ผ๋ฉด Let's Encrypt ์ธ์ฆ์์ ๋ํ ์ ๋ขฐ๋ฅผ ๋ณด์ฅํ๊ธฐ ์ํด ๋ฃจํธ ์ธ์ฆ์ ์ ์ฅ์์ ISRG ๋ฃจํธ XXNUMX ์ธ์ฆ์๋ฅผ ์๋์ผ๋ก ์ถ๊ฐํด์ผ ํ๋ ์ง์๋์ง ์๋ ํ์จ์ด ๋ฐ ์ด์ ์ฒด์ ์์ Let's Encrypt ์ธ์ฆ์๊ฐ ๋ ์ด์ ํ์ฉ๋์ง ์์ต๋๋ค. . ๋ฌธ์ ๋ ๋ค์๊ณผ ๊ฐ์ด ๋ํ๋ฉ๋๋ค.
- OpenSSL ์ต๋ ๋ถ๊ธฐ 1.0.2 ํฌํจ(๋ถ๊ธฐ 1.0.2์ ์ ์ง ๊ด๋ฆฌ๋ 2019๋ XNUMX์์ ์ค๋จ๋จ)
- NSS<3.26;
- ์๋ฐ 8 < 8u141, ์๋ฐ 7 < 7u151;
- ์๋์ฐ <XP SP3;
- macOS <10.12.1;
- iOS < 10(์์ดํฐ < 5);
- ์๋๋ก์ด๋ <2.3.6;
- ๋ชจ์ง๋ผ ํ์ด์ดํญ์ค < 50;
- ์ฐ๋ถํฌ <16.04;
- ๋ฐ๋น์ < 8.
OpenSSL 1.0.2์ ๊ฒฝ์ฐ ๋ค๋ฅธ ์ ํจํ ์ ๋ขฐ ์ฒด์ธ์ด ๋จ์ ์์ด๋ ์๋ช ์ ์ฌ์ฉ๋ ๋ฃจํธ ์ธ์ฆ์ ์ค ํ๋๊ฐ ๋ง๋ฃ๋๋ฉด ๊ต์ฐจ ์๋ช ๋ ์ธ์ฆ์๊ฐ ์ฌ๋ฐ๋ฅด๊ฒ ์ฒ๋ฆฌ๋์ง ์๋ ๋ฒ๊ทธ๋ก ์ธํด ๋ฌธ์ ๊ฐ ๋ฐ์ํฉ๋๋ค. ์ด ๋ฌธ์ ๋ ์๋ ์ Sectigo(Comodo) ์ธ์ฆ ๊ธฐ๊ด์ ์ธ์ฆ์๋ฅผ ๊ต์ฐจ ์๋ช ํ๋ ๋ฐ ์ฌ์ฉ๋ AddTrust ์ธ์ฆ์๊ฐ ๋ ์ด์ ์ฌ์ฉ๋์ง ์๊ฒ ๋ ํ ์ฒ์์ผ๋ก ๋ํ๋ฌ์ต๋๋ค. ๋ฌธ์ ์ ํต์ฌ์ OpenSSL์ด ์ธ์ฆ์๋ฅผ ์ ํ ์ฒด์ธ์ผ๋ก ๊ตฌ๋ฌธ ๋ถ์ํ ๋ฐ๋ฉด, RFC 4158์ ๋ฐ๋ฅด๋ฉด ์ธ์ฆ์๋ ๊ณ ๋ คํด์ผ ํ ์ฌ๋ฌ ํธ๋ฌ์คํธ ์ต์ปค๊ฐ ์๋ ๋ฐฉํฅ์ฑ ๋ถ์ฐ ์ํ ๊ทธ๋ํ๋ฅผ ๋ํ๋ผ ์ ์๋ค๋ ๊ฒ์ ๋๋ค.
OpenSSL 1.0.2 ๊ธฐ๋ฐ์ ์ด์ ๋ฐฐํฌํ ์ฌ์ฉ์์๊ฒ๋ ๋ฌธ์ ํด๊ฒฐ์ ์ํ ์ธ ๊ฐ์ง ํด๊ฒฐ ๋ฐฉ๋ฒ์ด ์ ๊ณต๋ฉ๋๋ค.
- IdenTrust DST ๋ฃจํธ CA X3 ๋ฃจํธ ์ธ์ฆ์๋ฅผ ์๋์ผ๋ก ์ ๊ฑฐํ๊ณ ๋ ๋ฆฝ ์คํํ(๊ต์ฐจ ์๋ช ๋์ง ์์) ISRG ๋ฃจํธ X1 ๋ฃจํธ ์ธ์ฆ์๋ฅผ ์ค์นํ์ต๋๋ค.
- openssl verify ๋ฐ s_client ๋ช ๋ น์ ์คํํ ๋ "-trusted_first" ์ต์ ์ ์ง์ ํ ์ ์์ต๋๋ค.
- ์๋ฒ์์๋ ์ํธ ์๋ช ์ด ์๋ ๋ณ๋์ ๋ฃจํธ ์ธ์ฆ์์ธ SRG Root X1์์ ์ธ์ฆํ ์ธ์ฆ์๋ฅผ ์ฌ์ฉํฉ๋๋ค. ์ด ๋ฐฉ๋ฒ์ ์ฌ์ฉํ๋ฉด ์ด์ Android ํด๋ผ์ด์ธํธ์์ ํธํ์ฑ์ด ์์ค๋ฉ๋๋ค.
๋ํ Let's Encrypt ํ๋ก์ ํธ๋ 2.2์ต ๊ฐ์ ์ธ์ฆ์ ์์ฑ์ด๋ผ๋ ์ด์ ํ๋ฅผ ๊ทน๋ณตํ๋ค๋ ์ ์ ์ ์ ์์ต๋๋ค. ์ง๋ํด 2.4์ 192์ต ๋ฌ์ฑ์ ๋ฌ์ฑํ๋ค. ๋งค์ผ 260๋ง~195๋ง ๊ฐ์ ์๋ก์ด ์ธ์ฆ์๊ฐ ์์ฑ๋ฉ๋๋ค. ํ์ฑ ์ธ์ฆ์ ์๋ 150์ต 60๋ง ๊ฐ(์ธ์ฆ์ ์ ํจ ๊ธฐ๊ฐ์ 82๊ฐ์)์ด๋ฉฐ ์ฝ 81์ต 77๋ง ๊ฐ์ ๋๋ฉ์ธ์ ํฌํจํฉ๋๋ค(69๋
์ 58์ต XNUMX๋ง ๊ฐ, XNUMX๋
์ XNUMX์ต XNUMX๋ง ๊ฐ, XNUMX๋
์ XNUMX๋ง ๊ฐ). Firefox Telemetry ์๋น์ค์ ํต๊ณ์ ๋ฐ๋ฅด๋ฉด HTTPS๋ฅผ ํตํ ํ์ด์ง ์์ฒญ์ ์ ์ธ๊ณ ์ ์ ์จ์ XNUMX%(XNUMX๋
์ - XNUMX%, XNUMX๋
์ - XNUMX%, XNUMX๋
์ - XNUMX%, XNUMX๋
์ - XNUMX%)์
๋๋ค.
์ถ์ฒ : opennet.ru