루트 인증서

3. X.509와 루트 인증서

자기 서명 인증서나 자기 발행 인증서의 일종이다. 자기 서명 인증서란 자신의 개인 키로 그에 대응하는 공개 키에 서명한 인증서를 말한다. 자신의 개인 키로 서명했더라도, 인증 기관이 식별명을 변경했을 때 발행하는 네임 롤오버 인증서와 같이 식별명이 다른 인증서는 루트 인증서가 아니다. 자기 발행 인증서란, 발행자와 주체가 동일한 실체인 공개 키 인증서를 말한다. 자신에게 발행해도, 다른 개인 키로 서명된 자기 발행 인증서(키 롤오버 인증서나, CRL의 서명용으로 다른 키 쌍을 사용할 때 등에 발행하는 인증서)는 루트 인증서가 아니다.

인증 기관은 인증서를 트리 구조를 이루는 형태로 발행하는데, 그중에서 루트 인증서는 발행된 인증서 중 트리의 근원에 위치한다. 모든 인증서는 자신의 부모가 되는 루트 인증서가 가진 신뢰성을 계승한다.

많은 소프트웨어에서는 인증서 이용자를 대표하여 루트 인증서를 신뢰한다는 전제를 둔다. 그 예로, 웹 브라우저에서는 SSL 및 TLS에 의한 통신에서 루트 인증서를 ID의 검증에 사용하고 있다. 여기서는 사용자가 웹 브라우저의 배포자와 그것이 신뢰하는 인증 기관, 그 인증 기관이 발행한 인증서를 가진 인증서 이용자를 신뢰한다는 전제하에 인증서 이용자의 ID 검증을 수행하고 있다.

ITU-T에 의해 정의된 X.509는 상업 분야에서 가장 널리 사용되는 인증서의 규격이지만, 이 루트 인증서를 기반으로 한 신뢰의 추이는 X.509 인증서의 체인 모델에 필수적이다.

4. 주요 인증 기관의 루트 인증서 (한국 중심)

한국에서는 정부 및 공공기관과 민간 기업에서 발급하는 루트 인증서를 사용한다. 정부 및 공공기관은 (GPKI), (LGPKI) 등의 루트 인증서를 제공하며, 민간에서는 베리사인 등 글로벌 인증 기관의 루트 인증서를 사용하기도 한다.

4. 1. 글로벌 인증 기관

5. 루트 인증서 관련 사건 사고

2011년 네덜란드 인증 기관 디지노타르 해킹 사건으로 여러 사기 인증서가 발급되어 이란 Gmail 사용자 공격에 악용되었고, 결국 디지노타르는 신뢰를 잃었다.^[1]

2015년에는 중국 인터넷 정보 센터(CNNIC)가 발급한 중간 인증 기관이 구글 도메인에 대한 가짜 인증서를 발급한 사실이 드러나면서, CNNIC 인증서에 대한 신뢰 문제가 제기되었다.^[4][5] 구글과 모질라는 CNNIC 인증서를 더 이상 신뢰하지 않겠다고 발표했다.^{[6][7][8][9][10]}

2016년에는 중국 인증 기관 WoSign(Qihoo 360 소유)과 StartCom이 동일한 일련 번호의 인증서를 짧은 시간에 대량 발급하고, 소급 인증서 및 GitHub 가짜 인증서를 발급하여 구글과 마이크로소프트로부터 인증서 인정을 거부당했다.^{[11][12][13][14]}

5. 1. 디지노타르(DigiNotar) 해킹 (2011)

5. 2. 중국 인터넷 정보 센터(CNNIC)의 가짜 인증서 발급

5. 2. 1. CNNIC 인증서 불신 사태 (2015)

5. 2. 2. 구글과 모질라의 대응

5. 3. WoSign 및 StartCom의 가짜 인증서 발급

5. 3. 1. GitHub 가짜 인증서 발급

6. SSL/TLS와 루트 인증서

루트 인증서는 자기 서명 인증서나 자기 발행 인증서의 일종이다. 자기 서명 인증서란 자신의 개인 키로 그에 대응하는 공개 키에 서명한 인증서를 말한다. 인증 기관이 식별명을 변경했을 때 발행하는 네임 롤오버 인증서와 같이 식별명이 다른 인증서는 루트 인증서가 아니다. 자기 발행 인증서란, 발행자와 주체가 동일한 실체인 공개 키 인증서를 말한다. 다른 개인 키로 서명된 자기 발행 인증서(인증 기관이 키를 갱신할 때 발행하는 키 롤오버 인증서 등)는 루트 인증서가 아니다.

웹 브라우저에서 SSL/TLS 통신을 할 때, 루트 인증서는 ID 검증에 사용된다.

6. 1. 관련 기술

7. 한국의 루트 인증서 정책 및 과제

(참조할 원문 소스가 제공되지 않았으므로, 이전 결과물도 확인할 수 없습니다. 따라서 수정 작업을 수행할 수 없습니다.)

참조

_[1] 웹사이트 What Are CA Certificates? https://technet.micr[...] Microsoft TechNet 2003-03-28
_[2] 웹사이트 Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs) http://social.techne[...] Microsoft TechNet 2014-10
_[3] 웹사이트 476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate https://bugzilla.moz[...] 2020-01-03
_[4] 웹사이트 CNNIC发行的中级CA发行了Google的假证书 http://www.solidot.o[...] solidot 2015-03-24
_[5] 웹사이트 最危险的互联网漏洞正在逼近 https://qdan.me/list[...] 2015-03-26
_[6] 뉴스 Google Bans China's Website Certificate Authority After Security Breach https://techcrunch.c[...] Extra Crunch 2015-04-02
_[7] 뉴스 谷歌不再承認中國CNNIC頒發的信任證書 https://cn.wsj.com/a[...] 2015-04-03
_[8] 뉴스 谷歌不再信任中国CNNIC 的网站信任证书 http://www.voachines[...] 2015-04-03
_[9] 뉴스 Google and Mozilla decide to ban Chinese certificate authority CNNIC from Chrome and Firefox https://venturebeat.[...] VentureBeat 2015-04-02
_[10] 뉴스 Mozilla紧随谷歌 拒绝承认中国安全证书 http://m.voachinese.[...] 2015-04-04
_[11] 웹사이트 谷歌宣布开始全面封杀使用沃通CA证书网站，信誉破产的恶果 - 超能网 https://www.exprevie[...] 2020-01-03
_[12] 뉴스 Microsoft to remove WoSign and StartCom certificates in Windows 10 https://www.microsof[...] Microsoft 2017-08-08
_[13] 웹사이트 CA:WoSign Issues - MozillaWiki https://wiki.mozilla[...] 2020-01-03
_[14] 웹사이트 The story of how WoSign gave me an SSL certificate for GitHub.com https://www.schrauge[...]
_[15] 문서 本項でいう''秘密鍵''とは、署名される公開鍵([[:en:Public_key]])に対応する秘密鍵([[:en:Private_key]]、または私有鍵)のことであり、[[共通鍵暗号]]の秘密鍵(Secret key)ではない。
_[16] 웹사이트 ルート証明書とは https://wa3.i-3-i.in[...] 2018-06-14
_[17] 웹인용 What Are CA Certificates? https://technet.micr[...] Microsoft TechNet 2003-03-28