타운광장토픽게시판

SSL 인증서 구입시 주의하세요.

기진곰
조회 수 1540
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ

 

세계 최대 규모의 SSL 인증서 발급 업체이자 백신을 비롯한 각종 보안관련 제품도 많이 팔고 있는

시만텍(Symantec)의 인증서를 구글에서 더이상 신뢰하지 않겠다는 얘기가 나오고 있습니다.

 

인증서 발급 업체들과 브라우저 개발 업체들이 합의한 보안 기준에 맞지 않는 인증서가

지난 수 년간 3만 개 이상 공공연하게 유통되었다는 얘기가 나오고 있는데요...

구글 측의 주장일 뿐인지, 시만텍 측에서 정말로 인증서 부정 발급을 숨기고 있는지는 모르겠습니다.

 

시만텍 본사뿐 아니라 GeoTrust, Thawte, Verisign 등 자회사를 통해 구입한 인증서도 모두 해당될 수 있습니다.

특히 GeoTrust에서 판매하는 RapidSSL은 유료 인증서 중에는 저렴한 편이라

국내 개인 사용자 중에도 구입하신 분이 꽤 있을 것으로 생각됩니다.

XE 공홈도 Thawte를 사용하고 있고, 국내 시중은행들 중에도 Verisign 인증서를 쓰는 곳이 있어서

크롬에서 시만텍 계열사를 모두 신뢰하지 않겠다고 할 경우

작년에 StartSSL이 추방되었을 때와는 비교할 수 없는 규모의 후폭풍이 우려됩니다.

현재 전세계적으로 사용되고 있는 SSL 인증서의 30~40%가 시만텍 계열사 제품이라고 하는데... ㄷㄷㄷ

 

물론 구글에서도 호환성에 신경을 써야 하기 때문에 당장 에러가 나는 것은 아니고

올 연말까지 단계적으로 조치해 나갈 예정이라고 하네요.

파이어폭스, IE/엣지, 사파리 등 다른 브라우저들과도 보조를 맞춰야 하니까요.

그러나 만약 지금 시만텍 계열사의 SSL 인증서를 사용하고 계시거나 새로 구입하실 예정이라면

크롬에서 언제까지 신뢰될지 잘 따져보시는 것이 좋겠습니다.

 

소규모 사이트라면 Comodo PositiveSSL이 가장 저렴한 대안인데 (해외 최저가 기준 3년에 15달러 이하)

여기도 몇 년 전에 심각한 보안 사고가 있었지만 최근에는 그나마 조용합니다.

 

무료 인증서는 StartSSL이 더이상 신뢰되지 않기 때문에 이제 쓸만한 것은 Let's Encrypt밖에 없습니다.

여기는 세팅이 다소 복잡하고 3개월마다 갱신해야 한다는 단점이 있지만,

인증서 하나에 도메인과 서브도메인을 최대 100개까지 연결할 수 있다는 장점이 있습니다.

여러 도메인을 사용하더라도 포트를 따로 쓰거나 IE 구버전 호환성을 포기할 필요가 없는 거죠.

기진곰

profile
GitHub @kijin 사람을 위한 인터넷 생태계의 발전에 많은 관심을 갖고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영중입니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
위로 아래로
댓글 15
  • profile
    근데 이런 대목에서 항상 궁금해지는건 왜 3개월짜리로 제한할까요? 유료판매자들을 배려하는 목적일까요? 저 조차도 그냥 귀찮아서 8월경 만료되면 그냥 쓰던거 연장해서 쓸 생각으로 기울고 있어서요... 말씀하신 저렴이 유료 인증서 쓰고 있습니다.
  • profile profile

    개인키가 유출될 경우 데미지를 줄이기 위해 유효 기간을 짧게 하도록 권장하는 추세입니다. 클라우드플레어도 요즘은 어정쩡하게 9~10개월짜리를 쓰더군요. 주소창이 녹색으로 표시되는 EV 인증서도 일반 인증서보다 유효기간이 짧게 나옵니다.

     

    Let's Encrypt는 자동 갱신 스크립트를 제공하니 짧은 유효기간 때문에 편의성이 떨어지더라도 충분히 만회할 수 있을 거라고 생각하는 듯 한데요... 자동 갱신만 믿고 있을 수는 없다는 것이 함정... ㅜㅜ

  • ?

    아무 이유없이 아무것도 모르고 글에 적어주신 comodo 거를 사서 적용했던거 같은데..... 나름 다행이네요.

  • profile
    Let's Encrypt를 알아보고 있긴한데 복잡하네여 OTL
  • profile
    헉 며칠전에 ssl구매했는데, 혹시 잘못 구매한 것일까요?
    아무생각없이 미리내 웹호스팅에서 AlphaSSL(globalsign) 구매했는데, 제가 잘 한건지 모르겠네요.
    (https://www.mireene.com/index.php?pid=biz_center/ssl_service/content)
    ssl에 대해서 잘 몰라서요... ㅠㅠ
  • profile profile

    GlobalSign은 시만텍 계열사가 아니니 괜찮을 거예요.

    몇천 원짜리를 몇만 원에 팔고, 10분이면 될 것을 2~3일씩 걸리게 만드는 국내 리셀러들이 문제일 뿐... ㅋㅋ

  • profile profile
    후... 다행이네요. 답변감사합니다^^
  • ?
    저같은경우는 자동 갱신 스크립트를 따로 만들어서 적용중 입니다 좋은 정보 감사 합니다 퍼갈께요 기진곰님 저만 보게요
  • profile
    Let's Encrypt로 인증서 발급받고 매주 한번씩 갱신을 시도하는 것을 crontab 에 등록을 해 놓으면 자동갱신이 거의 담보되지 않을까요?

    지금 라엘님 블로그 글 읽어보니 한번 해두면 별도로 관리가 필요 없을거 같아 3개월은 문제가 되지 않아보이네요. 사람 생각이 이리 쉽게 바뀌네요 ㅋ

    굳이 돈주고 구입하고 싶지 않아지네요 ㅋ
  • profile profile

    네. 정기적으로 갱신 스크립트를 돌리는 것이 정석입니다만, 실패할 경우에 대비하여 갱신 예정일을 달력에 적어 놓고 체크하시는 것이 좋아요.

    더 큰 문제는 Let's Encrypt 초기 설치시 아파치 설정을 제멋대로 바꾼다는 점입니다. 현재 설정되어 있는 VirtualHost를 지능적으로 파악한다고는 하는데, 이게 100% 정확하지 않아서 설정을 엉망으로 만들어 놓는 일이 종종 있어요. 아파치 설정을 백업해 놓고 작업하시는 것이 좋습니다.

     

    추가) 라엘님 블로그처럼 certonly 옵션을 사용하여 아파치 설정을 건드리지 말라고 명령하면 안전합니다.

  • profile
    지금 코모도꺼 인증서 그대로 두고 Let's Encrypt 새로 발급받아서 써보고 인증서 경로를 수시로 바꿔서 인증서를 잠시 바꿔서 적용하고 하는 것은 문제가 없나요?

    수시로 2개 인증서를 바꿔가며 쓸 수 있다면 한번 테스트 삼아 설치해서 적용해 보고 싶네요.
  • profile profile
    네, 인증서 2개를 서로 다른 경로에 설치해 놓고 바꿔가며 쓰셔도 문제는 없습니다.
  • profile profile
    방금 Let's Encrypt 로 교체 해 놓고 자동갱신도 등록 해 놓았으니 사용해보면서 자동 업데이트도 잘 되는지 확인해 보면 되겠네요~
  • ?
    대세는 레츠인크립트죠 ㅎㅎ

    자동갱신만 잘 된다면 평생 무료에 멀티 도메인까지!!

    서브도메인 무제한인 와일드카드 인증서는 아니지만

    서브도메인 및 멀티도메인을 동시에 지원하는 매우 영리한 인증서죠!
  • profile
    Let's Encrypt의 경우 최초 등록시 이메일을 입력하게 되어있는데 갱신할 때나 지동갱신을 하더라도 누락되면 메일로 안내가 옵니다.
    무료 인증서지만 굉장히 잘 사용하고 있습니다.

    그리고 대부분의 은행에선 verisign 인증서를 많이 봤는데 정말 후폭풍이 크겠네요.