BLOG

AWS Certificate Manager (ACM) 인증서 투명성에 대비하기
작성일: 2018-03-13

 

2018년 4월 30일부터 구글 크롬은 공개적으로 신뢰할 수 있는 인증서 최소 두개 이상을 인증서 투명성 로그에 입력하도록 요구할 것입니다. 이는 기록되지 않은 인증서는 모두 구글 크롬에 오류 메시지로 나타날 것을 뜻합니다. 2018년 4월 24일을 시작으로, 인증서 투명성 로깅을 사용하지 않도록 설정하지 않는 한, Amazon은 모든 새 인증서와 갱신된 인증서, 최소 두 개를 공용 로그에 기록할 예정입니다.

 

인증서 투명성이 없으면 도메인 소유자가 자신의 도메인에 대해 예기치 않은 인증서가 발급되었는지 확인하기 어려울 수 있습니다. 현재 시스템에서는 발급 중인 인증서에 대한 기록이 유지되지 않으며 도메인 소유자가 악성 인증서를 식별할 수 있는 확실한 방법이 없습니다.

 

이러한 상황을 해결하기 위해 인증서 투명성은 발급된 각 인증서에 대해 암호화된 보안 로그를 생성합니다. 도메인 소유자는 로그를 검색하여 실수나 악의로 발급된 예기치 않은 인증서를 식별할 수 있습니다. 또한 부적절하게 인증서를 발급하는 인증기관을 식별할 수 있습니다. 이 포스트는 인증서의 투명성에 대해 자세히 설명하고 이에 대한 준비 방법을 알려 줍니다.

 

인증서 투명성은 어떻게 작동합니까?
인증기관이 공개적으로 신뢰할 수 있는 인증서를 발급하는 경우 인증기관은 인증서를 하나 이상의 인증서 투명성 로그 서버에 제출해야 합니다. 인증서 투명성 로그 서버는 로그 서버가 알려진 인증서 목록에 인증서를 추가할 것임을 확인하는 SCT(서명된 인증서 타임 스탬프)로 응답합니다. 그 다음 SCT가 인증서에 포함되어 브라우저에 자동으로 전송됩니다. SCT는 인증서가 로그에 게시되었음을 입증하는 영수증과 같습니다. 4월 30일부터 구글 크롬은 오류 메시지를 표시하지 않고 인증서를 신뢰할 수 있도록 하기 위해 인증서가 투명성 로그에 게시되었다는 증거로 SCT를 요구할 것입니다.

 

Amazon은 인증서 투명성을 지원하기 위해 무엇을 하고 있습니까?
투명성 인증서는 좋은 관례입니다. 이 기능을 통해 AWS 고객은 인증기관에서 발급한 무단 인증서가 없다는 확신을 가질 수 있게 됩니다. 2018년 4월 24일에 시작하는 Amazon은 사용자가 인증서 투명성 로깅을 사용하지 않도록 설정하지 않는 한, 새 인증서와 갱신된 인증서를 최소 두개의 인증서 투명성 로그에 모두 기록합니다.
Amazon은 고객이 인증서를 기록하지 않으려는 경우가 있을 수 있음을 인식합니다. 예를 들어, 릴리스 되지 않은 제품에 대한 웹 사이트를 구축하고 하위 도메인을 등록한 경우 새로운 제품이 오고 있다는 것을 알리기 위해 newproduct.example.com에서 사용자의 도메인에 대해 기록된 인증서를 요청합니다. 인증서 투명성 로그는 사적으로 보관할 서버 호스트 이름도 표시할 수 있습니다. payments.example.com같은 호스트 이름은 서버의 목적을 드러내고 공격자에게 개인 네트워크에 대한 정보를 제공할 수 있습니다. 이러한 로그에는 인증서의 개인 키가 포함되어 있지 않습니다. 이와 같은 사유로, 2018년 3월 27일부터 ACM API를 사용하거나 AWS CLI를 사용하여 인증서 투명성 로깅을 인증서 단위로 비활성화할 수 있습니다. 그렇게 하면 구글 크롬에서 오류가 발생하며, 이는 정보를 노출하는 것보다 나을 수도 있습니다. 2018년 3월 27일이 다가오면 AWS Security Blog에 인증서 투명성 로깅을 사용하지 않도록 설정하는 방법에 대한 가이드를 공유할 것입니다.

 

결론

4월 14일부터는 ACM이 자동적으로 설정된 신규 혹은 갱신된 인증서 로깅을 시작할 것입니다. 만약 인증서가 로그되기 원하질 않는다면, AWS API 나 CLI 를 통해서 선택 후 해제할 수 있습니다. 만약 구글 크롬의 신뢰를 얻고 싶다면 새로 발행되거나 도입된 인증서들에 대하여 4월 30일 까지 SCT 정보를 입력해야 합니다.

 

원문 URL: https://aws.amazon.com/ko/blogs/security/how-to-get-ready-for-certificate-transparency/

 

** 메가존 TechBlog는 AWS BLOG 영문 게재글중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.