자유게시판

제목 구글크롬브라우저에서시만텍Root인증서예외처리이슈
글쓴이 핵잠함장 작성시각 2017/08/03 21:05:30
댓글 : 3 추천 : 0 스크랩 : 0 조회수 : 8413   RSS

이 문서는 코모도 인증서는 해당사항없으며, Symantec 인증서를 사용하는 웹사이트의 소유주 또는 관리자를 위한 것입니다.

인터넷 크롬브라우져 일반 사용자라면, 특별한 아무런 조치가 필요없습니다.

* 본일정및내용은변경될수있습니다.

1. 누가 ?

 나쁜놈(ㅋ) 구글이 크롬브라우저에서 시만텍의 CA 인증서를 신뢰하지 않기로 결정했습니다.

(*모질라 파이어폭스는 이번 이슈에는 따르지 않기로 했습니다.)

 시만텍에 속해 있는 모든 인증기관 인증서에 영향을 미칩니다.

 - Symantec

 - GeoTrust

 - Thawte

 - RapidSSL

 

2. 그럼 왜?

 더~ 나쁜놈(ㅋ) 시만텍이 SSL인증서를 부정발급했습니다.

<시만텍의SSL 부정발급으로인한 구글의 비신뢰>

1차부정발급

2015년 9월시만텍은내부테스트용으로 google.com 도메인의 SSL 인증서를구글동의없이임의로발급하였고, 이인증서가외부로유출되는사고가일어남. 

시만텍은구글외오페라등 5개기관의 23개인증서를제대로된감사진행없이발급했음을인정함.

하지만구글이조사한결과, 그동안 2,458개의정보미확인인증서를발급한사실이추가발견됨.

따라서, 구글은부정발급에대한제재조치로 2016년 6월 1일부터발급된모든시만텍인증서에인증서투명성정보 (Certificate Transparency) 기능을넣을것을강제하였으며(Symantec 외다른CA 기관들은오직 EV 인증서에한해 CT 기능을 제공하고있음), 더이상구글의제품에서시만텍의 “Class 3 Public Primary CA” 최상위인증서를신뢰하지않기로함.

2차부정발급

2010년 1월부터 2017년 1월까지, 시만텍의파트너 RA인한국전자인증은 RA로서보유한인증서발급권한을 사용하여불명확한웹사이트도메인(example.com, testexample.com, test1.com 등) 에대해시만텍SSL 인증서 127개를비정상적인절차로부정발급함.

본부정발급을허용한시만텍은사건수습을위해모든인증서에대한인증심사재검수를진행해야했으며, 2017년 2월 12일시만텍은결국‘Partner RA Program’을해지하기로결정하여한국전자인증및모든시만텍 RA들은 RA 권한을해지당함. 또한추가조사결과, 이외에약 3만개가넘는인증서가부적절하게발급된것으로확인됨.구글은시만텍 SSL 인 증서발급프로세스에불만을표시하여더이상Chrome에서시만텍인증서를신뢰하지않겠다고밝힘.

--한국정보인증자료제공

3. 그럼 어떻게?

 당장 SSL인증서를 재발급 또는 갱신을 해야할 필요는 없으며, 2018년10월24일까지 충분히 시간을 가지고 준비하면 됩니다.

* 구글 Timeline 상세일정

Timeline Chrome Action Items

7/27/17

61

Regardless of the issue date, if the SSL certificate EXPIRES BEFORE 12/1/17, the end-user needs to renew within the 90-day window under the old PKI system and reissue again later between 12/1/17 – 10/23/18 using the new PKI system to avoid distrust.

12/1/17

62

If the SSL certificate was ISSUED AFTER 12/1/17and EXPIRES AFTER 10/23/18, the end-user will automatically be compliant with Google distrust dates and no further action would be required.

4/17/18

66

If the SSL certificate was ISSUED BEFORE 6/1/16and EXPIRES BEFORE 4/17/18, the end-user needs to renew within the 90-day window using the new PKI system to avoid distrust.

4/17/18

66

If the SSL cert was ISSUED BEFORE 6/1/16 and EXPIRES AFTER 4/17/18, the end-user needs to either: a) renew if within the 90-day window using the new PKI system to avoid distrust or b) reissue if outside the 90-day window, but wait until 12/1/17 to use the new PKI system to avoid distrust.

10/23/18

70

If the SSL certificate was ISSUED BEFORE 12/1/17and EXPIRES AFTER 10/23/18, the end-user should either: a) renew if within the 90-day window using the new PKI system to avoid distrust or b) reissue if outside the 90-day window, but wait until 12/1/17 to use the new PKI system to avoid distrust.

10/23/18

70

If the SSL certificate was ISSUED AFTER 12/1/17and EXPIRES AFTER 10/23/18, the end-user will automatically be compliant with Google distrust dates and no further action would be required.

4. 결론

2018년4월17일

 시만텍 SSL 인증서 발급일이 2016년6월1일 이전에 발급되고 만료일 2018년4월17일이전 만료되는 인증서라면 90일이내 갱신 또는 재발급이 필요합니다.

2018년10월23일

 발급일이 2017년12월1일이전에 발급되고 만료일이 2018년10월23일이후 인증서일경우 2017년12월1일이후 갱신 또는 재발급이 필요합니다.

* 윈서트 고객이고 시만텍 인증서를 이용하고 있다면 안내메일이 발송될 것입니다.

관련링크 https://www.wincert.com/index.php/comm/classbbs_view/598317021233efc57856e4d5c04b773ac815eda4f2206/
 다음글 최근 포럼 들어오기 낯뜨거운것이.... (4)
 이전글 그룹웨어 어디꺼 사용중이신가요? (7)

댓글

변종원(웅파) / 2017/08/03 22:29:20 / 추천 0
저도 기사를 봤습니다. 시만텍이 부정발급해서 크롬 브라우저에서 최상위인증서가 아닌 sub인증서로 인정을 한다고.. ㅋ
마PD / 2017/08/04 11:59:48 / 추천 0

헐... ssl 인증서도 부정발급을 하는군요 ;;;

제가 난독인지 글만 봐서는 구글은 나쁜짓한게 없는데 왜 나쁜놈이 되는건가요 ??

/ 2017/08/04 12:41:15 / 추천 0
코모도에서 발급한 인증서가 몇일전에 크롬에서 ssl 적용한 사이트가 초록 자물쇠였는데 색이 변하면서 안전하지 않다고 뜨길래 뭔가 봤는데, 인증서 알고리즘을 sha2로 바꿔서 해결했던 기억이.. 구글이 일을 참 열심히 하는듯..