무료 SSL 인증서로 유명한 중국계 업체인 WoSign과 그 계열사1)인 StartCom(StartSSL)에서 발급한 인증서를 모질라(파이어폭스)와 구글(크롬)에서 더이상 신뢰하지 않는 것을 고려하고 있다고 합니다.
도메인 소유권 인증 절차에 심각한 버그가 있어서 몇 차례나 해커들이 엉터리 인증서를 얻을 수 있었고, 인증서 일련번호가 중복되는 등 관리가 엉망으로 되고 있으며, 중국 고객들을 위해 일부러 발급일자와 유효기간을 조작한 인증서를 발급했다는 의혹도 받고 있네요.
당장 언제부터 신뢰하지 않겠다는 계획은 아직 발표되지 않았지만, 모질라 측의 보고서에서는 특정 날짜 이후에 신뢰하지 않겠다고 하면 그 전에 발급한 것으로 인증서를 조작해서 우회하려고 시도하지 않겠느냐, 좀더 강력한 조치가 필요하다는 얘기까지 나오고 있는 상황이라... 분위기가 무척 험악합니다 ㄷㄷ
https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
만약 브라우저들이 WoSign과 StartCom(StartSSL) 인증서를 신뢰하지 않게 되면 해당 인증서를 사용하는 사이트는 접속이 아예 안 되거나 대문짝만한 보안 경고가 뜰 수도 있으니, 미리 다른 업체의 인증서로 바꾸거나 한동안 브라우저 개발사들의 정책 변화를 잘 지켜보시기 바랍니다. (XE타운도 포함!!!)
무료 인증서는 Let's Encrypt, 유료 인증서는 Comodo PositiveSSL을 권합니다. 해외에서 직구하면 1년에 3~4달러입니다. 호환성이나 보안성은 다 거기서 거기입니다.
1) StartCom은 서양에서 꽤 오랫동안 신뢰를 쌓아온 업체이기 때문에, 작년에 WoSign에서 인수했다는 사실조차 알려지지 않도록 하려고 어지간히 애를 썼다고 합니다. 이스라엘에 있는 StartCom 본사는 그대로 두고 영국과 홍콩에 페이퍼컴퍼니를 설립하여 우회적으로 운영하고 있다는 듯... 신뢰를 사고파는 SSL 인증서 발급업체가 대체 무슨 짓인지 ㅠ
StartCom이 인수됬다니... 그러고보니, 갑자기 사이트 디자인이 바꼈을때부터 군요..;;