SSL 인증서 2020년 이슈 10가지, 2021년 SSL 동향

2020년에 가장 큰 이슈라면 단연 인증서 유효기간이 398일로 대폭 축소 되었다는 것입니다.

하지만 그외에도 바뀌는 것들이 많이 있었습니다. 간단히 요약하고 2021년에는 어떻게 바뀌는지 찾아보겠습니다.

1. TLS 1.0 및 1.1 지원 중단

TLS 1.0과 1.1을 폐기하려는 계획이 마침내 이루어졌습니다. 2018 년 11 월, 브라우저 는 2020 년 언젠가 사용 중단이 발생할 것이라고 공동 발표 했습니다. 인증 기관 (CA)은 고객을 모니터링하여 TLS 1.2 또는 1.3을 지원하지 않는 고객을 확인했으며 최대 85 만 개의 사이트를 차단할 수 있다는 보고가 있었습니다.. 지원 중단이 진행되었으며 대부분의 사이트는 이후 버전의 TLS 프로토콜을 사용하여 보안을 계속 제공합니다. 2020 년 11 월 말에 제공된 Netcraft 설문 조사에 따르면, 검토 된 8,900 만 대 이상의 서버 중 99.85 %가 TLS 1.2 또는 1.3을 지원합니다.

2. 인증서 해지 목록 : Mozilla 및 CRLite

2020 년 1 월, Mozilla는 CRLite를 도입했습니다., 새로운 인증서 상태 방법. CRLite의 장점은 다음과 같습니다.

​● 대용량 CRL (인증서 해지 목록) 다운로드가 필요하지 않음

● OCSP (Online Certificate Status Protocol)의 개인 정보 보호 문제를 제거합니다.

● 온라인 검사로 성능을 유지하고 CA가 단일 지점 또는 장애가되는 것을 제거합니다.

● 브라우저가 소프트 실패를 겪는 것을 방지합니다.

​Mozilla는 CRLite를 현재 Firefox Nightly 및 Beta에서 원격 분석 수집을 위해 활성화되어 있지만 해지 확인을 시행하는 데는 사용되지 않습니다.

​3. 398 일로 단축된 SSL인증서 기간

실패한 CA / 브라우저 포럼 투표 SC22 이후2019 년 9 월 SSL / TLS 인증서 유효성을 줄이기 위해 Apple은 정책을 변경했습니다.인증서 유효 기간을 2020 년 9 월 1 일부터 398 일로 최소화합니다. 398 일 규칙은 SC31 투표를 통해 CA / 브라우저 포럼 기준 요건으로 옮겨졌습니다. 브라우저 (정책) 정렬 투표였습니다.

​4. 만료되는 CA인증서

TLS 에코 시스템의 신뢰는 운영 체제와 브라우저에 내장되고 신뢰되는 루트 CA 인증서로 시작됩니다. 루트 인증서의 수명은 일반적으로 20 년입니다. 그러나 인증서는 결국 만료됩니다. CA가 만료되기 전에 새 루트로 마이그레이션 되었으면하지만 이로 인해 새 루트 인증서가없는 이전 운영 체제 및 브라우저에 문제가 발생할 수 있습니다.

역 호환성이 문제이며​ 2020년 Sectigo 루트가있는 브라우저에 영향을 미치며 2021 년에 IdenTrust 루트 를 사용한 Let ‘s Encrypt 사이트에도 영향을 미칠 것입니다. 다른 이전 루트에 대한 교차 인증서를 사용하여 문제를 완화하거나 최종 사용자가 브라우저 또는 운영 체제를 업그레이드하거나 변경해야 할 수 있습니다. Let ‘s Encrypt는 고유 한 솔루션을 제시했습니다.루트가 루트 인증서가 만료 된 후 만료되는 교차 인증서에 서명했습니다. 이 솔루션은 루트의 만료 날짜를 확인하지 않으므로 Android에서 작동합니다.

5.Gov 도메인에 HSTS 사전로드

2020 년 6 월, DotGov 프로그램은HTTP Strict Transport Security (HSTS) 정책을 사용하여 모든 .gov 도메인을 미리로드하려는 의도. 즉, HSTS를 지원하는 브라우저 (예 : Chrome, Firefox, Opera, Safari, IE 11 및 Edge)의 모든 .gov 사이트에 HTTPS가 적용됩니다. HSTS는 사이트의 모든 브라우저 사용자에게 보안을 제공하는 훌륭한 도구입니다. HSTS 목록 검토 .gov로 끝나는 1,000 개 이상의 사이트가 HSTS 목록에 미리로드되었음을 나타냅니다.

6. Apple CT 정책 업데이트

인증서 투명성 (CT)은 2018 년 4 월 Chrome에서 모든 TLS 인증서 유형으로 푸시되었습니다. Apple은 또한 2018 년 10 월 15 일 이후에 발급 된 인증서에 대해 CT 로그에 게시하도록 요구하기 시작했습니다. CT는 대부분의 정보를 수집하는 훌륭한 인터넷 도구로 확인되었습니다. 공개적으로 발급 된 TLS 인증서. CT를 사용하여 잘못 발급 된 인증서를 찾는 것도 TLS / SSL 에코 시스템의 품질을 정리하는 데 도움이되었습니다.

Apple은 CT 정책을 업데이트했습니다.이 업데이트는 모든 CA가 모든 CT 정책을 준수하고 대부분의 브라우저에서 신뢰를 유지하기 위해 가장 제한적인 CT 정책을 지원해야 함을 의미합니다. Apple의 새로운 정책에는 다음이 포함됩니다.

● 로그 운영자 다양성에 대한 더 많은 요구 사항

● 6 개월 이상의 유효 기간 동안 발급 된 인증서에 대한 추가 SCT

● CT 운영자가 비 TLS 인증서를 거부 할 수있는 허용

● 정책의 기술적 집행을 나타내는 더 정확한 단위

7. Raccoon Attack

​집에서 일하고 여행하지 않는 모든 전문가들과 함께 더 많은 공격 연구가 발생했을 것이라고 생각했을 것입니다.하지만 2020 년은보고 된 많은 TLS 공격에 대해 1 년이 아니 었습니다.

우리는 Raccoon Attack에 대한 발표를 받았습니다 . Raccoon은 암호 그룹에서 DH (Diffie-Helman) 비밀 처리를 통해 타이밍 취약점을 악용합니다. 성공하면 공격자가 암호화를 해제하고 브라우저와 서버간에 전송되는 민감한 통신 (예 : 암호, 신용 카드 번호 등)을 읽을 수 있습니다. 이 공격을 완화하려면 서버 운영자는 DH 및 DHE 암호 제품군에 대한 지원을 중단해야합니다. 이 공격은 이미 65 % 이상의 서버에서 지원하고있는 TLS 1.3과 통신하여 완화됩니다.

8.Chrome 루트 프로그램 및 루트 저장소

구글은 크롬 루트 프로그램을 발표했다및 제안 된 Chrome 루트 스토어2020 년 10 월 CA / 브라우저 포럼 회의에서. Chrome 루트 프로그램은 새 루트 인증서를 포함하기 전에 CA를 확인하기 위해 Mozilla 루트 프로그램을 활용합니다. 제안 된 Chrome 루트 저장소는 Mozilla보다 루트가 적은 것으로 보입니다. CA가 다음과 같은 경우 새 루트가 허용됩니다.​

널리 사용되고 있으며 키 자료를 업데이트하고 있습니다.

TLS 서버 인증서 만 발급

널리 알려진 공개 토론 프로그램 (예 : Mozilla)을 통해 검토되었습니다.

모든 CA 키 자료에 대한 단독 제어를 유지합니다.

CA / BR 기준에 대해 WebTrust에 감사를 받았습니다.

​9. Firefox HTTPS 전용 모드

Mozilla는 Firefox 릴리스 83에서 HTTPS 전용 모드를 시작했습니다.. HTTPS 전용 모드는 Firefox 사용자가 모든 사이트에 대해 HTTPS로 보호되도록합니다. 브라우저가 HTTP 사이트로 이동하면 Firefox는 보안 위험을 나타내는 오류 페이지를 표시합니다. 사용자는 여전히 안전하지 않은 HTTP 사이트로 계속 진행하도록 선택할 수 있습니다.

10. 카자흐스탄 CA인증서 차단

카자흐스탄 국가는 또 다른 루트 인증서를 발행하여 시민들이 설치하도록 시도하고 있습니다. 루트가 설치되면 시민이 몇 개의 웹 사이트에 대한 중간자 (MITM) 공격에 사용할 수있는 서버 인증서를 신뢰할 수 있습니다. 유사한 공격이 2019 년에 시도되었습니다. Mozilla, Apple, Google, Microsoft 및 Mozilla 에서는 카자흐스탄의 MitM HTTPS 인증서 금지 기타 브라우저 카자흐스탄의 사용자를 보호하기 위해이 루트 인증서를 블랙리스트에 올렸습니다.

2021년 이후

2021 년도 정비의 해가 될까요? 암호화 기술의 변화에 ​​대한 예측은 없습니다. SHA-256 서명, 2048 비트 RSA 키, 398 일 인증서 유효 기간 및 TLS 1.3 프로토콜로 계속 안전해야합니다. 즉, 몇 가지 간단한 보안 개선 사항을 볼 수 있습니다.​

OU 필드 변경

​인증서의 인증서 주체 이름에있는 OU (조직 단위) 필드는 브라우저 사용자에게 실제로 도움이되지 않기 때문에 일부 조사를 받고 있습니다. 인증서 구독자를 돕습니다. 서버 소유자는 일부 유형의 추적 정보에 대해 OU를 사용할 수 있습니다. OU는 회사 부서 이름 또는 부서 번호에 대한 정보를 제공 할 수 있습니다. OU에 대한 잘못된 유효성 검사는 인증서가 다른 엔터티에 발급되었음을 의미 할 수 있으므로 브라우저에 혼동을 줄 수 있습니다.

DigiCert는 OU를 더 이상 사용하지 않기로 결정했습니다.”OU 필드를 사용하면 선택적 메타 데이터를 인증서에 저장할 수 있지만 의도 된 용도는 매우 제한적이며 유효성 검사 요구 사항이 적용됩니다. 이 선택적 필드에 대한 혼동을 줄이고 검증 시간을 개선하기 위해 향후 주문 프로세스에서이를 제거하고 있습니다. ” 나는 동의한다. 자동화를 제공하기가 어렵 기 때문에 OU 필드를 수동으로 검증해야하므로 검증 속도가 느려집니다.

CA / 브라우저 포럼에서도 OU 제거에 대해 논의했습니다.또는 향상된 유효성 검사 요구 사항으로 OU 유지. 따라서 2021 년에 OU가 일부 변경 될 것으로 예상 할 수 있습니다.

​TLS에 대한 위임 된 자격 증명

​지난 몇 년 동안 TLS에 대한 위임 된 자격 증명은 Cloudflare, Facebook 및 Mozilla에서 개발되었습니다. 이것은 또한 제안 된 위임 자격 증명 IETF RFC 로 문서화되고 있습니다..

위임 된 자격 증명 메커니즘을 통해 서버 운영자는 서버의 개인 키를 사용하여 위임 된 자격 증명을 발급 할 수 있습니다. 위임 된 자격 증명은 다른 개인 키를 가지며 유효 기간은 7 일을 넘지 않습니다. 위임 된 자격 증명은 짧은 기간 동안 만 유효하므로 확인해야 할 상태 프로토콜이 없습니다. 즉, CRL 또는 OCSP 응답이 없습니다.

이 메커니즘은 단기간에 새 개인 키를 생성 할 수 있도록하여 보안을 강화합니다. 위임 된 자격 증명은 서버 근처에 있기 때문에 위임 된 자격 증명 또는 단기간 인증서를 위해 CA에 연락해야하므로 방해받지 않습니다.

배포와 관련하여 RFC 완료 및 다른 브라우저의 지원을 기다리고있을 수 있습니다. 이것이 2021 년에 배포 될 것인지 볼 것입니다.