웹브라우저의 SHA-1 인증서(SSL 인증서) 차단 일정 변경

웹브라우저의 SHA-1 인증서(SSL 인증서) 차단 일정 변경

얼마 전(2016년 4월 29일)에 Microsoft(마이크로소프트)사가 자사의 공식 블로그(https://blogs.windows.com)를 통해 SSL인증서와 관련하여 중요한 발표를 하였습니다.

Microsoft사는 그 전에는 2016년 6월에 SHA-1 인증서를 거부할 것을 고려 중이라고 밝혔었는데, 4월 29일에 Windows Blog와 Technet 페이지를 통해 SHA-1인증서 거부를 2017년 2월 14일로 연기됐다고 발표했습니다.

웹브라우저에서의 SHA-1 인증서 차단은 Microsoft사의 Internet Explorer에 국한된 것이 아니라 구글의 Chrome(크롬)과 모질라의 FireFox에도 적용되는 사항입니다.

이번 포스팅에서는 ①주요 브라우저의 SHA-1 인증서 차단 계획과 이것이 ②SHA-1/SHA-2의 기술 개념에 대해 알아보도록 하겠습니다.

[주요 브라우저의 SHA-1 인증서 거부 계획]

지금까지 발표된 주요 브라우저의 SHA-1 인증서 거부 계획은 다음과 같습니다.
(자료 출처 : 한국정보인증 KICASSL 홈페이지)

제조사(브라우저)	공식 발표 날짜	변경 고려 날짜	비고
Microsoft( Internet Explorer)	2017년 2월 14일		공식 발표
Google(Chrome)	2017년 1월 1일	2016년 7월 1일	Chrome 48 버전 이후
Mozilla(FireFox)		2016년 7월 1일	패치 정보 없음
기타 브라우저		계획 발표 없음

l  각 제조사의 공식 내용을 정리한 것으로 일정 변경이 있을 수 있습니다.

Microsoft는 위의 표와 같이 2017년 2월 14일부터 SHA-1 인증서 차단을 공식 발표했지만 Chrome과 FireFox는 아직 계획 변동이 없습니다.

Chrome은 구글 온라인 시큐리티 블로그를 통해 2016년 7월 1일 SHA-1 인증서 거부를 고려 중에 있다고 발표한 바 있는데요, 지금의 분위기로는 Chrome과 FireFox 브라우저도 2016년 7월에 SHA-1 인증서 거부 가능성이 상당히 높다고 판단됩니다.

<브라우저별 SHA-1 거부 관련 참고 링크> - microsoft 블로그 :바로가기  - microsoft 인증서 관련 대응 스케쥴 :바로가기  - mozilla 보안 블로그 :바로가기  - 구글 온라인 시큐리티 블로그 :바로가기  <Google Chrome 스케줄 변경 관련> - 2016년 1월 1일 이후 구글 스케쥴(sha-1 거부 관련) :바로가기

[SSL인증서 발급기관 및 웹사이트 운영자의 대응]

한국정보인증 및 COMODO는 이미 2016년 1월 1일부터 SHA-1 인증서 발급을 중지하였으므로

2016년 1월 1일 이후로 한국정보인증과 COMODO에서 인증서를 발급 받은 경우는 SHA-1 인증서 차단과 관련하여 전혀 걱정할 필요가 없습니다.

(타 인증기관도 비슷한 상황이라고 판단되지만 인증서 발급 기관에 발급 받은 SSL 인증서의 서명알고리즘이 SHA-2인지 확인이 필요합니다.)

다만 2015년 12월 31일 이전에 발급 받은 SHA-1 인증서를 사용 중이라면 각 브라우저의 차단 날짜 이전에 SHA-2 호환 환경을 구축하시고, SHA-2 인증서로 재발급하실 것을 권고 드립니다.

SSL 인증서의 재발급 비용은 무료이니 신속히 재발급 받으시길 권합니다.

그렇다면 웹사이트 운영자가 아닌 일반 사용자들은 어떻게 대처를 해야 하는 것일까?

앞에서 설명 드렸듯이 웹사이트 이용자 입장에서는 인증서를 변경하거나 하는 번거로움이 전혀 없습니다. 어디까지나 웹사이트를 운영하는 쪽과 OS나 브라우저 제조사들이 해결해야 할 문제입니다.

다만, 사용자 입장에서도 브라우저나 OS를 업그레이드하지 않으면 연결에 문제가 있을 수 있으니 SW 업데이트를 꾸준해 해주는 것이 중요합니다.

[SHA-1/SHA-2 인증서 확인 방법]

SSL 인증서에서 SHA-1 또는 SHA-2를 확인하는 방법은 다음과 같습니다.

인증서 정보를 확인하기 위해 먼저 인증서 보기를 실행해야 합니다.

①    주소창에 있는 좌물쇠 이미지 클릭

②    웹사이트 정보에서 인증서 보기 클릭

상기와 같이 인증서 보기를 클릭하면 다음과 같이 해당 사이트의 SSL 인증서 정보가 나타납니다.

서명 알고리즘과 서명 해시 알고리즘 부분에 SHA256이라고 표시되어 있으면 SHA-2 알고리즘이 적용된 것이지만, 만약 서명 알고리즘과 서명 해시 알고리즘 부분SHA-1으로 표시되어 있다면 SHA-1 알고리즘이 적용된 인증서입니다.

SHA-1 인증서가 2016년까지 사용할 수 있도록 발급되었지만 Chrome과 FireFox의 경우 SHA-2 적용 계획이 앞당겨 질 수 있으므로 최대한 빨리 SHA-2 알고리즘이 적용된 인증서로 재발급 받아서 적용해야 할 필요가 있습니다.

[SHA-1/SHA2의 기술 개념]

이번에는 SHA-1 또는 SHA-2의 기술적인 개념에 대해 알아보겠습니다.

SHA는 Secure Hash Algorithm의 약자로 안전한 해시 알고리즘을 뜻하며, 최초의 SHA 함수군인 SHA-0 이후에 변형되어 발표된 알고리즘인 SHA-1이라고 하며, SHA-1은 SHA 함수군 중 가장 많이 사용되고 있습니다.

그런데 SHA-0과 SHA-1은 이미 많은 공격이 발견되었고 이데 대해 대체 필요성이 대두 되었는데요, SHA-1에 대한 대안으로 적용하고 있는 SHA-1 이후에 발표된 SHA224, SHA-256, SHA-384, SHA-512 함수군을 SHA-2라고 합니다.

해쉬(HASH)란? 해쉬는 임의의 크기를 가진 긴 데이터를 이미 정해진 고정된 데이터의 크기로 변환시키는 것을 말하며, 주로 데이터의 무결성 검증, 메시지 인증에 사용됩니다. 해쉬함수는 다음의 성질을 만족해야 합니다. l  일방향성 : 주어진 임의의 출력 값 y에 대해, y=h(x)를 만족하는 입력 값 x를 찾는 것이 계산적으로 불가능 l  충돌 저항성 : h(x)=h(x’)을 만족하는 임의의 두 입력 값 x, x’을 찾는 것이 계산적으로 불가능

[COMODO의 대한민국 총판]

COMODO SSL 인증서의 대한민국 총판은 오직 한국정보인증 뿐입니다.

대한민국 제1호 공인인증기관인 한국정보인증은 COMODO SSL 인증서에 대한 Validation을 직접 진행함으로써 업무 시간 내 당일 발급 및 효율성을 증대하고 있습니다.

l  COMODO : 1 ~ 2일 소요

l  타사 : 2 ~ 3일 소요

SSL 인증서, 이제 글로벌 No.1 COMODO를 선택하세요,

대한민국 COMODO SOLE 총판이자 공식 파트너인 한국정보인증과 상의하세요.