로그, 브라우저 및 CA에 대한 CT(인증서 투명성) 지원 상태는 어떻습니까?
로그
2018년 2월부터 DigiCert는 새로 발급되고 공개적으로 신뢰할 수 있는 모든 TLS/SSL 인증서를 기본적으로 CT(인증서 투명성) 로그에 제출하기 시작했습니다. 이러한 변경은 고객의 보안을 개선하고 채택을 장려하고자 2018년 4월에 전 업계 차원에 적용되었던 Google의 요구 사항에 앞서 실시되었습니다. 2018년 이전에는 EV 인증서에 대해서만 기록이 필요했습니다.
DigiCert는 Google에서도 사용하는 자체 CT 로그를 운영합니다. 로그를 포함하려면 90일의 테스트 기간을 통해 입증된 상당한 수준의 가용성이 필요합니다. 이러한 높은 요구 사항을 충족하지 못하는 로그는 신뢰할 수 없습니다. 따라서 DigiCert는 로그를 설정하고 발급된 모든 인증서의 수를 처리할 수 있을 만큼 강력한 추가적인 예방 조치를 취했습니다.
브라우저
Chrome – Chrome은 2014년 초에 CT를 지원하기 시작했으며, 이제 인증서를 발급하는 모든 CA에 CT를 요구하며 지원 범위를 확장하고 있습니다.
1년 인증서의 경우 Google은 두 개의 독립된 로그에서 CT 증명을 요구했습니다. 1년 인증서가 표준으로 자리 잡았던 2020년에 이전에 발급된 2년 인증서는 최소 세 개의 독립 로그에서 CT 증명을 포함해야 했습니다. Google은 CA의 전환을 용이하게 할 목적으로 독립성 요구 사항을 임시 완화하여 Google 로그에서 두 개의 증명과 DigiCert 로그에서 한 개의 증명을 포함하면 되도록 허용했었습니다. 그동안 많은 CA와 이해관계자가 충분한 수의 운영 로그를 보장하는 로그를 생성할 것으로 예상되었습니다.
Firefox– Firefox는 현재 사용자가 방문하는 사이트에 대해 CT 로그를 확인하거나 사용하도록 요구하지 않습니다.
Safari– Apple에서는 Safari 및 다른 서버가 서버 인증서를 신뢰할 수 있도록 여러 개의 SCT를 요구합니다.
인증 기관:
IETF(Internet Engineering Task Force)의 RFC 9162에 따르면, 공용 CA는 새로 발급된 모든 인증서를 하나 이상의 로그에 제공할 예정입니다. 단, 인증서 소유자도 제3자와 마찬가지로 자체 인증서 체인을 제공할 수 있습니다.
2015년 1월까지 모든 주요 CA는 CT 로그 서버에 발급된 EV 인증서를 포함하기 시작했습니다. EV 인증서를 발급하는 CA는 Google의 요구 사항을 준수하기 위해 사용 가능한 Google 로그 두 개와 DigiCert 로그를 활용해야 했습니다.
DigiCert는 인증서 투명성 규정을 어떻게 준수합니까?
CT는 인증서 발급에 대한 공개 감사 가능한 기록을 만들어 TLS/SSL 인증서 시스템을 강화합니다. 2015년부터 Google은 CA가 EV 인증서를 공용 CT 로그에 기록하도록 요구했습니다. 2018년 4월에 Google은 CA가 OV 및 DV 인증서도 공용 CT 로그에 기록할 것을 요구하기 시작했습니다.
DigiCert는 2018년 2월 1일 새로 발급된 모든 공용 TLS/SSL 인증서를 공용 CT 로그에 게시하기 시작했습니다. 이 변경 사항은 2018년 2월 1일 이전에 발급된 OV 또는 DV 인증서에는 영향을 주지 않았습니다.
인증서 투명성 정책이 있는 브라우저:
2018년 4월부터 Google은 CA에 모든 TLS/SSL 인증서(EV, OV, DV)를 기록하도록 요구했습니다.
2018년 10월 15일부터 Apple은 CA에 모든 TLS/SSL 인증서(EV, OV, DV)를 기록하도록 요구했습니다.
인증서 투명성의 배경과 역사는 어떠합니까?
2011년 DigiNotar라는 네덜란드 CA(인증 기관)가 해킹된 사례가 있었고, 이 과정에서 공격자들은 DigiNotar의 신뢰할 수 있는 루트에서 허위 인증서를 500개 이상 만들어 발급했습니다. 공격자들은 이 인증서로 Google과 Facebook을 비롯한 수많은 사이트를 사칭했고, 의심하지 않는 사용자를 대상으로 중간자 공격을 감행했습니다.
해당 사례를 비롯해, DigiCert가 아닌 타 CA에서 부주의 또는 악의로 허위 인증서가 발급된 유명한 사례들에 따라 Google 엔지니어들이 새로운 솔루션을 고안해야 할 필요성을 느끼게 되었습니다. 그 과정에서 두 명의 엔지니어, Ben Laurie 씨와 Adam Langley 씨가 CT(인증서 투명성)에 대한 아이디어를 고안했고, 이 프레임워크를 오픈 소스 프로젝트로 개발하기 시작했습니다. 2012년에 Laurie 씨와 Langley 씨는 IETF와 협업하여 인증서 투명성을 요약한 규격 초안을 완성했으며, 2013년에 RFC를 발표했습니다.
2013년에 Google은 두 개의 공용 로그를 선보였으며, 향후 Google Chrome의 모든 EV SSL 인증서에 대해 CT를 요구하겠다는 계획을 발표했습니다.
2012년부터 DigiCert는 CT 통합을 실험하고 제안된 CT 구현에 대한 피드백을 제공하고 있었습니다. 2013년 9월, DigiCert는 CA 중 최초로 시스템에 CT를 구현했으며, 같은 해 10월에는 고객에게 SSL 인증서에 CT 증명을 포함하는 옵션을 CA 중 최초로 제공했습니다.
2014년 9월에 DigiCert는 Google Chrome에 포함할 비공개 로그를 Google에 제출했습니다. DigiCert 로그는 2014년 12월 31일에 승인되었으며, 이로써 DigiCert는 CT 로그를 만든 최초의 CA가 되었습니다.