CA는 CT 로그 증명을 어떻게 전달합니까?
2015년 1월 1일부터 모든 주요 CA(인증 기관)는 EV SSL 인증서에 대한 CT(인증서 투명성) 기록 기능을 보유해야 합니다. 2018년 5월 1일부터 모든 주요 CA(인증 기관)는 DV 및 OV SSL/TLS 인증서에 대한 CT(인증서 투명성) 기록 기능을 보유해야 합니다.
그러나 증명을 전달하는 데 사용하는 메커니즘은 CA마다 다를 수 있습니다. DigiCert는 현재 SCT를 전달하는 세 가지 방법을 모두 지원합니다. 기본적으로 DigiCert는 두 개의 Google 로그와 DigiCert 로그에서 SCT를 포함합니다. SCT를 포함하면 서버 운영자가 따로 작업할 필요가 없어 가장 간단하게 증명을 제공할 수 있습니다. TLS 확장 또는 OCSP 고정 사용에 관심이 있는 경우 서버에 필요할 수 있는 변경 사항을 자세히 알아보려면 DigiCert에 문의하십시오.
SCT 전달 방법이란 무엇입니까?
CA는 루트가 포함된 신뢰할 수 있는 로그에 인증서를 기록할 수 있습니다. 프로세스 포함 요청을 기록하고 SCT(서명된 인증서 타임스탬프)로 응답합니다. SCT는 영수증과 같이 작동하여 인증서가 특정 기간, 즉 MMD(최대 병합 지연) 내에 로그에 추가될 것임을 표시합니다. 이렇게 하면 인증서 발급 속도의 저하나 인증서 사용에 대한 방해는 방지하면서 설정된 기간 내에 인증서가 로그에 추가될 수 있습니다. 허용되는 최대 MMD는 24시간입니다. 다시 말해, SCT가 생성된 후 24시간 이내에 새로 발급되고 기록된 모든 인증서가 로그에 표시됩니다.
SCT는 전체 수명 동안 인증서와 함께 제공되며 TLS 핸드셰이크 프로세스 지원의 일부입니다. 이 프로세스는 SCT를 평가하여 승인된 CT 로그에서 각각 생성되었는지 확인합니다.
인증서를 사용하여 SCT를 전달하는 세 가지 방법을 지원하는 CT
인증서 포함
CA는 SCT 증명을 인증서의 확장에 직접 포함하여 인증서에 SCT를 연결할 수 있습니다. 발급 전에 CA는 사전 인증서를 로그에 제출하고 로그는 SCT를 반환합니다. CA는 적절한 중간자에서 서명하기 전에 발급된 인증서에 반환된 SCT를 인증서 확장으로 포함합니다.
이 방법을 사용하면 서버 운영자 측에서 서버를 수정하거나 조치를 취할 필요가 없습니다. 그러나 이 방법을 사용하려면 CA가 인증서를 발급하기 전에 SCT를 받아야 합니다.
TLS 확장
서버 운영자는 특수 TLS 확장을 사용하여 실제 인증서 외부로 SCT를 전달할 수 있습니다. CA가 인증서를 발급한 후 서버 운영자는 인증서를 로그에 제출합니다. 로그는 SCT를 서버 운영자에게 전송하고 서버는 TLS 확장을 사용하여 핸드셰이크 과정에서 SCT를 전달합니다.
이 방법을 사용하면 인증서 크기가 줄어들고 CA 측에서 작업을 수행하지 않아도 됩니다.
OCSP 고정
서버 운영자는 OCSP(온라인 인증서 상태 프로토콜) 고정을 사용하여 SCT를 전달할 수도 있습니다. CA는 OCSP 고정을 사용하여 로그 서버와 서버 운영자 모두에게 인증서를 발급합니다. CA는 OCSP 응답에 대한 서버 요청의 일부로 SCT를 서버 운영자에게 반환합니다. 서버는 TLS 핸드셰이크 과정에서 SCT를 확장으로 포함하는 이 응답을 클라이언트에 제공합니다.
이 방법을 사용하려면 발급 중에 CA가 인증서를 로그에 제출해야 하지만, CA가 SCT를 받기 전에 인증서를 전달할 수 있습니다. 이 방법을 사용하려면 서버 운영자가 서버에서 OCSP 고정을 활성화해야 합니다.
