Entrust 불신에 대한 FAQ

Google은 해당 결정에 대한 공지에서 다음과 같이 밝혔습니다.

"공개된 사건 보고서를 통해 지난 수년간 위에서 언급된 기대 수준을 충족하지 못하는 Entrust의 우려되는 행동 패턴이 확인되었으며, 공신력 있는 인증 기관(CA) 소유자로서 Entrust의 역량, 안정성 및 무결성에 대한 신뢰가 무너졌습니다".

그리고 이와 덧붙여 다음과 같이 표명했습니다.

"인증 기관(CA)은 브라우저와 웹사이트 간의 암호화된 연결을 뒷받침하는, 인터넷 환경에서 신뢰를 기반으로 한 특권적인 역할을 수행합니다. 이러한 엄청난 책임에는 CA/Browser TLS 기준 요구 사항에 명시된 내용을 비롯해 합당하며 합의에 기반한 보안 및 규정 준수 요구 사항을 따라야 한다는 기대가 수반됩니다.

지난 6년간 Entrust는 규정 위반, 개선 약속 불이행, 공개된 사건 보고서에 대한 측정 가능한 구체적인 개선 노력 부족이라는 문제를 지속적으로 보여왔습니다. 이러한 요소들을 전체적인 관점에서 살펴보고 공신력 있는 CA가 인터넷 생태계에 미치는 내재된 위험에 대해 고려할 때 Chrome이 더 이상 Entrust에 대한 신뢰를 유지할 이유가 없다는 것이 저희의 의견입니다".

Chrome은 결국 모든 Chrome 사용자가 설치하게 될 Google Chrome의 11월 11일 안정화 버전부터 Entrust Root에서 발급한 공용 TLS 인증서 중 SCT(Signed Certificate Timestamp)가 2024년 11월 11일 이후인 인증서를 신뢰하지 않을 것입니다.

SCT가 2024년 11월 11일 이전인 모든 Entrust TLS 인증서는 원래 기간 동안 유효합니다. 단, 인증서를 수정 및 갱신하거나, 인증서에 대한 키를 다시 입력하면 해당 인증서는 신뢰할 수 없게 됩니다. 

2024년에 Apple은 지정된 날짜 이후로 발급된 새로운 인증서에 대해 신뢰할 수 없는 특정 인증 기관 및 루트가 명시된 지원 문서를 공개했습니다. 많은 Entrust Root 인증서가 2024년 11월 15일을 기준으로 신뢰할 수 없는 인증서로 지정되어, TLS, S/MIME, 타임스탬프, BIMI(Brand Indicator for Message Identification) 인증서가 영향을 받습니다. 

2024년 11월 15일 이전에 해당 인증서를 사용하여 발급한 인증서는 여전히 신뢰할 수 있으므로 영향을 받은 인증서라도 Apple의 신뢰할 수 있는 루트 목록에 계속 포함됩니다. Apple은 별도의 로직을 적용하여 지정된 날짜 이후에 발급한 인증서만 신뢰하지 않습니다. 

Apple은 영향을 받는 제품을 지정하지 않습니다. 단, 모든 Apple 제품은 자체 루트 저장소를 사용해야 하므로 모든 PKI 클라이언트(예: Safari, Apple Mail, iOS 또는 iPadOS에서 실행되는 모든 앱)는 영향을 받는다고 가정하는 것이 타당합니다.

Mozilla는 2024년 12월 1일을 기준으로 새로 발급한 Entrust Root 인증서를 더 이상 신뢰하지 않을 것이라고 발표했습니다. SCT가 2024년 11월 30일 이전인 모든 Entrust TLS 인증서는 원래 기간 동안 유효합니다. 단, 12월 1일 이후에 인증서를 수정 및 갱신하거나, 인증서에 대한 키를 다시 입력하면 Firefox에서는 해당 인증서를 신뢰하지 않을 것입니다. 

Microsoft는 이 사안에 대해 아직 어떠한 공지도 발표하지 않았습니다.

고객은 인증서 인벤토리를 정확히 확인하여 가급적 신속하게 교체 전략을 수립하는 것이 좋습니다. 인증서 불신으로 인해 이미 중단되었을 수도 있습니다. 각 인증서 만료일을 숙지하고 관련 서비스의 위험 프로필을 평가하고 교체 프로세스를 계획하는 노력이 필요합니다. 지금 바로 DigiCert에 문의하여 마이그레이션을 계획하십시오.

다양한 도구가 인프라에 연결해 환경에서 사용 중인 인증서를 스캔하여 찾아낼 수 있습니다. Entrust 고객이라면 Entrust 콘솔에서 도움이 되는 도구를 찾아보십시오.

DigiCert^® 트러스트 수명 주기 관리자(TLM) 및 DigiCert CertCentral^®에서 환경을 평가하여 교체가 필요한 모든 Entrust 인증서를 확인할 수 있습니다. 인증서을 스캔하고 찾는 데 도움이 필요한 경우 DigiCert에 문의하십시오.

적극적으로 대응할 경우 간단하고 빠르게 새 인증서를 얻을 수 있습니다. DigiCert는 사용자의 도메인을 검증한 다음(몇 초가량 걸림) 조직을 검증해야 합니다(몇 분가량 걸릴 수 있음). 대부분의 경우 새 인증서를 받는 데 걸리는 전체 프로세스는 매우 빠르게 완료될 수 있습니다.

조직 유효성 검사(OV)는 2년간 유효합니다. DigiCert의 유효성 검사를 받은 경우 도메인 유효성 검사(DV)만 완료하면 됩니다. 즉, 이후의 인증서 요청이 더욱 빠르게 진행됩니다.

아니요. DigiCert는 자체 유효성 검사 절차를 수행해야 Entrust의 조직 유효성 검사 또는 확장 유효성 검사(EV) 인증서를 교체할 수 있습니다.

네. 도메인 유효성 검사 인증서의 경우 도메인만 검증하며 몇 초가량 걸립니다. 간단하고 빠른 작업을 수행하면 됩니다.

디지털 신뢰 분야의 선두 주자로서 DigiCert와 DigiCert의 인증 기관(CA)은 다음 세 가지 원칙으로 차별화됩니다.

첫째, 명확한 프로세스를 성실히 준수하며 위험을 완화하기 위해 특별히 개발한 PKILint와 같은 도구를 사용합니다.

둘째, CA/Browser 포럼과 긴밀하게 협력해 문제에 신속하고 투명하게 응답하고 문제가 발생하면 재빨리 문제를 해결합니다.

셋째, 표준 기관에 적극적으로 참여하여 표준을 따를 뿐만 아니라 업계의 이익을 위해 표준을 발전시키는 데 기여합니다.

해당 사건이 발생한 동안 DigiCert가 신뢰를 받지 못할 위험 요인은 전혀 없었습니다. 오류가 발견되자마자 문제를 신고했으며, 고객 및 주요 브라우저 공급업체와 함께 요구된 일정에 따라 영향을 받은 인증서 교체 작업을 처리했기 때문입니다.

Entrust 불신에 대한 공지에서 Google은 “상황이 잘못되었을 때 CA 소유자가 유의미하고 입증 가능한 변화를 약속하며, 그 결과 지속적인 개선을 보여주기를 기대합니다.”라고 밝혔습니다. DigiCert는 가능한 한 빠르게 이러한 변화를 위해 전력을 다하고 있으며, Chrome 그룹 및 기타 브라우저 공급업체와 밀접하게 협력하여 고객의 서비스 중단을 최소화하며 오류를 바로잡고 있습니다.

CA/B 포럼에서는 CA 신뢰/불신에 대한 결정을 내리지 않습니다. 인증서를 사용하는 응용 프로그램 공급업체, 즉 Google Chrome과 같은 대규모 브라우저 공급업체에서 해당 결정을 내립니다.

해당 문제를 논의하는 Bugzilla 포럼(CA 프로그램 일부)은 제약 없이 누구나 접근할 수 있습니다. 단, 포럼에서 개개인의 주장은 주의 깊게 다루십시오. 개인 간 의견 차이가 있을 수 있고 참여자 사이에서 합의가 이루어지는 데 시간이 걸리기도 합니다.

Entrust Root 인증서에 연결된 TLS 인증서만 영향을 받았으며, 그중 2024년 11월 12일 이후에 발급된 인증서만 해당됩니다.

Apple은 공지를 통해 TLS, S/MIME, 타임스탬프, 상표 표기라고도 하는 BIMI(Brand Indicator for Message Identification)에 대한 Entrust Root 인증서를 신뢰하지 않는다는 점을 집중적으로 다루었습니다. 해당 공지를 참조하여 어떤 기능에 대해 어떤 특정 루트 인증서를 신뢰할 수 없는지 목록을 확인하십시오.  

혹시 다른 Entrust 인증서 제품으로 교체를 원하십니까? 이러한 경우에도 DigiCert는 S/MIME, 코드 서명, 문서 서명, 상표/일반 표기 인증서, 기타 PKI 기반 인증서 보안 유형을 관리할 수 있는 솔루션을 제공합니다.

DigiCert 트러스트 수명 주기 관리자는 엔터프라이즈 PKI를 대규모로 수용하며 사용자의 기존 아키텍처에 통합됩니다. 트러스트 수명 주기 관리자를 활용하여 DigiCert 또는 Entrust에서 발급한 인증서뿐만 아니라 모든 TLS/SSL 소스에서 발급한 인증서를 찾을 수 있습니다. DigiCert는 공용 및 비공개 PKI의 자동화를 제공하며 트러스트 수명 주기 관리자를 통해 안전한 인력 관리 플랫폼을 이용할 수 있으므로 역할 기반 액세스 제어를 쉽게 구현할 수 있습니다.

DigiCert는 이번 사건으로 영향을 받은 일부 고객에게 인센티브를 제공하고 있습니다. DigiCert에 문의하여 자세한 내용을 확인하십시오.

영향을 받았다면  Chrome, Safari, 및 Firefox의 현재 버전 사용 시 사이트에 액세스할 때 오류가 나타납니다. 보유한 인증서가 무엇인지, 또는 어디서 인증서를 발급했는지 모르는 경우 암호화 자산 목록을 작성해야 합니다. DigiCert는 목록 제작에 도움을 드릴 수 있습니다. 여기에서 DigiCert에 문의하여 맞춤 마이그레이션을 계획하거나 새로운 Entrust Discovery Connector를 사용하여 지원을 받으십시오.

11월 12일 이전에 발급한 Entrust TLS 인증서에 지금 당장 문제가 있는 것은 아닙니다. 그러나 해당 인증서의 만료일이 다가오면 DigiCert와 같은 신뢰할 수 있는 공개 인증 기관에서 제공하는 TLS 인증서로 교체해야 합니다.

Chrome 및 Firefox에서 발표한 공지는 Entrust TLS 인증서에 대한 불신만 언급합니다. Apple의 공지는 TLS, S/MIME, 타임스탬프, BIMI(Brand Indicator for Message Identification)에 대한 Entrust Root 인증서를 신뢰하지 않는다고 명시합니다. Apple 공지를 참조하여 어떤 기능에 대해 어떤 특정 루트 인증서를 신뢰할 수 없는지 목록을 확인하십시오.

Google 및 Mozilla에서만 Entrust를 신뢰하지 않을 것이라고 발표했습니다.

Google 및 Mozilla Root Program이 내린 결정은 Entrust Root에서 발급한 공용 TLS 인증서 중 SCT(Signed Certificate Timestamp)가 2024년 11월 11일 이후인 인증서에 적용됩니다. 해당 결정은 Entrust에서 발급한 코드 사인이나 S/MIME과 같은 기타 공용 인증서에는 현재 영향을 미치지 않습니다. 

담당 법률 고문과 상담해야 합니다.

인증서를 신뢰할 수 없는 상황에서 고객의 마이그레이션을 지원한 경험이 있는 공급업체와 협력해야 합니다. 흔히 가장 먼저 모든 암호화 자산 목록을 만듭니다. 그런 다음 즉시 해결해야 할 사항을 결정하고 추가로 변경 및 개선해야 할 부분을 계획할 수 있습니다.

네. 명확히 말씀드리자면 11월 12일을 기준으로 기존 Entrust TLS 인증서를 수정 및 갱신하거나, 인증서에 대한 키를 다시 입력할 경우 (신규) 인증서는 신뢰할 수 없게 됩니다. 

DigiCert는 인증서 전체 수명 기간 동안 더 쉬운 발급, 관리 및 문제 완화를 위해 수상 경력에 빛나는 실시간 지원, 사용자 지정 및 대리 서비스를 제공합니다. DigiCert는 고객 지원은 물론, 인증서 요구 사항을 모두 충족하기 위한 고객과의 협력으로 가장 잘 알려져 있습니다. Let's Encrypt도 중요한 역할을 수행하지만, 모든 인증서 유형, 관리 콘솔, 실시간 기술 지원, 정교한 보조 서비스(예: 인증서 수명 주기 관리)를 제공하지 않습니다. 다른 인증 기관에서 발급한 인증서의 경우, CertCentral 또는 트러스트 수명 주기 관리자를 사용하여 모든 DigiCert 인증서를 관리할 수 있습니다.

네, 하지만 하나 이상의 해결 방법이 공개되어 있습니다. 불신에 대한 Chrome 공지의 일부를 인용하자면 다음과 같습니다.

Chrome 127부터 기업은 Chrome이 실행되는 플랫폼을 통해 로컬에서 신뢰할 수 있는 루트로 해당 루트 CA 인증서를 설치하여(예: Microsoft 인증서 저장소에서 신뢰할 수 있는 루트 CA로 설치) 이 블로그 게시물 내 Entrust에 대해 설명된 항목을 비롯한 Chrome 루트 저장소 제한 사항을 재정의할 수 있습니다.

Android에서 실행되는 Chrome은 Chrome 루트 저장소를 사용하므로 불신의 영향을 받습니다. 중요한 점은, 모든 iOS 소프트웨어와 마찬가지로 iOS에서 실행되는 Chrome은 Apple 루트 저장소를 사용해야 하므로 반드시 불신의 영향을 받는 것은 아닙니다. 하지만 이전에 Chrome이 코드에서 루트를 차단하였으며 Google은 Chrome 버전 출시에 맞춰 인증서를 신뢰할 수 없는 날짜의 기준을 11월 12일로 조정하였습니다. 이는 해당 업데이트의 코드에서 루트가 차단될 것임을 암시합니다.

향후 Apple이 Entrust를 신뢰하지 않을 경우 모든 iOS 및 MacOS 기기에 영향을 미칠 것입니다.

맞습니다. 현재 WebPKI로 제한되어 있습니다. 정부 CA는 별개이며 직접적인 영향을 받지 않습니다.

네. DigiCert 트러스트 수명 주기 관리자는 사용자의 Entrust 계정에서 인벤토리를 가져와 DigiCert에서 새로운 인증서를 얻기 위한 ‘간편 버튼’을 제공합니다. 또한 다양한 시스템과 서비스의 설치 및 갱신을 자동화하는 기능도 추가될 예정입니다.