무료 SSL 인증서로 유명한 중국계 업체인 WoSign과 그 계열사1)인 StartCom(StartSSL)에서 발급한 인증서를 모질라(파이어폭스)와 구글(크롬)에서 더이상 신뢰하지 않는 것을 고려하고 있다고 합니다.

 

도메인 소유권 인증 절차에 심각한 버그가 있어서 몇 차례나 해커들이 엉터리 인증서를 얻을 수 있었고, 인증서 일련번호가 중복되는 등 관리가 엉망으로 되고 있으며, 중국 고객들을 위해 일부러 발급일자와 유효기간을 조작한 인증서를 발급했다는 의혹도 받고 있네요.

 

당장 언제부터 신뢰하지 않겠다는 계획은 아직 발표되지 않았지만, 모질라 측의 보고서에서는 특정 날짜 이후에 신뢰하지 않겠다고 하면 그 전에 발급한 것으로 인증서를 조작해서 우회하려고 시도하지 않겠느냐, 좀더 강력한 조치가 필요하다는 얘기까지 나오고 있는 상황이라... 분위기가 무척 험악합니다 ㄷㄷ

 

https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

 

만약 브라우저들이 WoSign과 StartCom(StartSSL) 인증서를 신뢰하지 않게 되면 해당 인증서를 사용하는 사이트는 접속이 아예 안 되거나 대문짝만한 보안 경고가 뜰 수도 있으니, 미리 다른 업체의 인증서로 바꾸거나 한동안 브라우저 개발사들의 정책 변화를 잘 지켜보시기 바랍니다. (XE타운도 포함!!!)

 

무료 인증서는 Let's Encrypt, 유료 인증서는 Comodo PositiveSSL을 권합니다. 해외에서 직구하면 1년에 3~4달러입니다. 호환성이나 보안성은 다 거기서 거기입니다.

 

1) StartCom은 서양에서 꽤 오랫동안 신뢰를 쌓아온 업체이기 때문에, 작년에 WoSign에서 인수했다는 사실조차 알려지지 않도록 하려고 어지간히 애를 썼다고 합니다. 이스라엘에 있는 StartCom 본사는 그대로 두고 영국과 홍콩에 페이퍼컴퍼니를 설립하여 우회적으로 운영하고 있다는 듯... 신뢰를 사고파는 SSL 인증서 발급업체가 대체 무슨 짓인지 ㅠ

 

기진곰

profile
GitHub @kijin 사람을 위한 인터넷 생태계의 발전에 많은 관심을 갖고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영중입니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
  • profile
    헐ㄷㄷ
    StartCom이 인수됬다니... 그러고보니, 갑자기 사이트 디자인이 바꼈을때부터 군요..;;
  • ?
    StartCom 분석 부분은 정말 어마어마하네요... 모질라 커뮤니티가 조사 많이 했네요
  • ? profile
    구글과 모질라가 운영하는 CT(certificate transparency)라는 것이 정말 대단하더군요. 세상에서 발급되는 모든 인증서를 수집, 분석해서 인증서 발급업체들의 내부사정을 파악하고 비리를 포착하는데...
  • ?

    충격과 공포네요.. 인증서 발급 업체가 이런 사실을 감추려고 했다는 것 자체가..

    P.S. 그럼 StartSSL Class 2 이상 인증서(일정 금액의 돈을 지불하여 발급받은 인증서)를 발급받은 사이트들은 어떻게 되는건가요? 당장 라엘님 블로그만 봐도 StartSSL Class 2 이상 인증서가 적용되어있는데..

  • ? profile
    구글과 모질라가 어떤 결정을 내리는지에 달려 있지요. 무료 인증서만 거부할지 유료 인증서까지 모두 거부할지... 마음만 먹으면 회사 하나 공중분해시켜 버릴 수도 있는 것이 브라우저 개발사의 파워니까요.
  • ? profile

    다 읽어봤는데, Wosign과 StartCom이 신뢰문제가 있어서 모질라 프로그램에서 관련 인증을 거부할 것이라는 거네요.

    인증거부일은 곧 정해지며, 인증거부일 이후에 발급된 인증서는 모질라 계열 프로그램에서 거부하게 바뀝니다. (그 전에 발급된 인증서는 유효).
    인증거부는 최소 1년간 지속된다고 합니다. 이 후 Mozilla Trust Program 에 참여하면 제한을 풀어준다네요.

    미리 발급된 인증서는 계속 신뢰처리되니 사용하시면 되고, 인증거부일이 정해지면 직전에 인증서 갱신을 해두는게 낫겠네요.

  • profile profile
    "WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots." (11페이지)
  • profile profile

    "제한을 피하기 위해, 과거의 사례처럼 발급일을 조작해서 인증서를 발급한다면 모든인증서를 거부하겠다." 라는 경고를 하고 있는데,
    본문의 We plan to distrust only newly-issued certificates to try and reduce the impact on web users. 라는 문구를 통해 추측해봤을때 reduce the impact 를 위해서 유예기간을 주지 않을까 싶네요.

  • profile

    업데이트: 모질라와 구글이 꾸물거리는 사이 애플이 먼저 움직였네요. 9월 19일 이후 발급된 WoSign 인증서를 신뢰하지 않도록 하는 보안패치를 모든 애플 제품에 곧 적용하겠다고 합니다. StartSSL에 대해서는 언급이 없고요.

  • profile profile
    본문도 수정해주시면 더 보기 좋을 것 같습니다!