SSL인증서 유효성 검증 OCSP&CRL

SSL암호화통신과정에서 Client는 Server로부터 전달받은 SSL인증서에 대해 유효성을 검사하는 Mechanism이 있으며, 이것은 SSL암호화통신의 신뢰에 대한 매우 중요한 부분입니다.

CRL (Certificate Revocation Lists)이란 인증서 해지 목록이며, 해지되었거나 더 이상 유효하지 않은 인증서의 목록을 의미합니다. 인증기관은 SSL인증서를 해지 한 후 인증서의 정보를 CRL목록에 등록합니다. 

 

SSL인증서의 유효성을 확인하기 위해 클라이언트는 URL에 접속하여 인증기관이 등록한 CRL목록을 다운로드한 후 인증서의 일련번호(serial number)을 통해 유효성을 확인합니다.

OCSP (Online Certificate Status Protocol)는 온라인 인증서 상태 프로토콜이며, 

OCSP는 CRL을 주기적으로 업데이트 해줘야 하는 단점을 보완한 것으로 동작 방식은 클라이언트가 CA서버에 인증서의 상태 확인요청을 실시간으로 보내면 CA서버는 인증서의 유효성을 확인하여 응답을 제공하는 방식입니다. 

 

OCSP 요청에는 인증서 상태를 찾기 위해 브라우저가 해지된 인증서 목록을 확인하지 않아도 됩니다. 또한 OCSP는 CRL 보다 빠르게 응답처리를 할 수 있습니다.

한국전자인증에서 발급하는 모든 SSL인증서의 OCSP 및 CRL 목록은 아래 표에 나와 있습니다.

​회사의 방화벽 또는 액세스 제어 장치가 네트워크에서 특정 URL 집합으로 액세스할 수 있도록 구성되어 있는 경우, 방화벽 또는 액세스 제어 장치에 항목을 추가하여 원활한 액세스가 되도록 해야 합니다.

포트 번호는”80″ 포트 입니다. 

 

만약 회사 방화벽 또는 액세스 제어 장치가 네트워크에서 특정 IP주소집합만 액세스할 수 있도록 구성되어 있는 경우,

다음 IP주소를 포함해야 합니다.

인터넷이 제한적인 시스템 환경이나 유효성 확인이 불필요한 경우 클라이언트PC에서 아래의 설정을 통해 인증서의 유효성 확인을 하지 않도록 할 수 있습니다.

" SSL유효성 확인하지 않는 방법 "

도구> 인터넷 옵션

인터넷 옵션 > 고급탭 > 서버의 인증서 해지확인* 을 체크박스 해제를 시킵니다. 

참고 링크

https://www.digicert.com/blog/ocsp-times-and-what-they-mean-for-you/

https://knowledge.digicert.com/generalinformation/INFO4629.html

https://knowledge.digicert.com/generalinformation/INFO4630.html

https://knowledge.digicert.com/generalinformation/INFO4631.html

https://knowledge.digicert.com/generalinformation/INFO4632.html

기타 기술 문의는 1588-1314 (내선 3번)으로 문의 주세요.