Symantec이 30,000개의 EV 인증서를 오발행, 구글 크롬이 더 이상 시만텍 SSL을 신뢰하지 않기로 결정해

Symantec이 30,000개의 EV 인증서를 오발행, 구글 크롬이 더 이상 시만텍 SSL을 신뢰하지 않기로 결정해

Google Chrome to Distrust Symantec SSLs for Mis-issuing 30,000 EV Certificates

최근 시만텍에서 지난 몇 년 동안 30,000건의 EV인증서가 부적절하게 발행된 정황이 발견되어, 구글이 점진적으로 시만텍의 SSL 인증서들을 신뢰하지 않을 것이라는 계획을 발표했습니다. 

이에 구글 크롬 브라우저에서는 시만텍이 인증서 발행 프로세스를 수정할 때 까지, 최소 1년동안 시만텍이 소유한 인증기관에서 발행 된 모든 인증서의 EV상태를 인정하지 않을 예정입니다. 이는 구글 크롬 팀의 소프트웨어 엔지니어인 Ryan Sleevi가 온라인 포럼에서 이 발표를 한 후 즉시 효력이 발생했습니다. 

Sleevi는 "시만텍이 과거에도 인증서를 여러번 오발행해왔으며, 이때문에 지난 수 년 동안 시만텍의 인증서 발급 정책 및 관행에 대한 신뢰를 잃게되었다"라고 밝혔습니다. 

EV인증서들은 가장 높은 수준의 인뢰 및 인증을 제공하기로 되어 있으며, 인증기관은 EV인증서를 발급하기 전 아이덴티티의 법적 실체 및 ID를 반드시 확인해야 합니다.

SSL 에코시스템의 중요한 부분들 중 하나가 바로 Trust 이지만, 인증기관들이 도메인을 위한 EV인증서를 발행하기 전 법적 실체 및 ID를 제대로 확인하지 못할 경우 이러한 인증서의 신뢰는 떨어질 수 밖에 없습니다. 

구글 크롬팀은 1월 19일 조사를 시작하였으며, 시만텍이 몇 년간 실행해온 인증서 발행 정책 및 관행이 인터넷을 통한 데이터 및 연결을 인증하고 보호하는데 사용 되는 TLS 시스템의 무결성을 위협할 수 있다고 밝혔습니다.

구글 크롬팀은 아래와 같이 처벌할 예정입니다.

오늘까지 시만텍이 발행한 EV인증서는 덜 안전한 도메인 인증서로 다운그레이드 됩니다. 이는 크롬 브라우저가 인증 된 도메인 네임 보유자를 주소창에 즉시 표시하는 것을 최소 1년동안 중지할 것이라는 이야기입니다. 또한 추후 인증서 오발행으로 인한 위험을 최소화 하기 위하여, 구글 크롬에서 새로 발행 된 모든 인증서들의 신뢰할 수 있는 유효기간을 9개월 이하로 하기로 하였습니다.(크롬 61부터 유효)

구글은 시만텍 인증서의 “최대 사용 기간”을 점차 감소시켜 아래 크롬 버전에 따라 재 발행 및 인증이 되도록 요구할 것이라고 밝혔습니다.

Chrome 59 (Dev, Beta, Stable): 33개월 간 유효(1023일)

Chrome 60 (Dev, Beta, Stable): 27개월 간 유효(837일)

Chrome 61 (Dev, Beta, Stable): 21개월 간 유효(651일)

Chrome 62 (Dev, Beta, Stable): 15개월 간 유효(465일)

Chrome 63 (Dev, Beta): 9개월 간 유효 (279일)

Chrome 63 (Stable): 15개월 간 유효 (465일)

Chrome 64 (Dev, Beta, Stable): 9개월 간 유효 (279일)

즉, 크롬 브라우저는 2018년 초에 출시 될 것으로 예상 되는 크롬 64 버전부터는 시만텍에서 발행한 인증서들을 9개월 이하만 신뢰하게 될 것입니다. 

이러한 구글의 대응에 시만텍은 "구글의 주장은 과장되어 있으며, 오해의 소지가 있다"고 밝혔습니다. 

“우리는 구글이 크롬 브라우저에서 시만텍 SSL/TLS 인증서를 대상으로 실행한 작업에 강력히 반대한다. 이는 예상치 못한 일이었으며, 그 블로그 포스팅은 무책임하다고 생각한다.”

“모든 주요 인증 기관이 SSL/TLS 인증서 오발행을 경험했지만 구글은 블로그 포스팅에 다른 인증기관들의 인증서 오발행에 대해서도 언급 했음에도 시만텍의 인증 기관만을 지목했다.”라고 주장했습니다.

출처 :

http://thehackernews.com/2017/03/google-invalidate-symantec-certs.html