포스팅 내용

국내외 보안동향

구글 크롬, 중국 SSL 인증 기관인 WoSign과 StartCom 금지시켜

Google Chrome Bans Chinese SSL Certificate Authorities WoSign and StartCom


작년 10월, 구글이 SSL/TLS 인증 기관인 WoSign과 자회사인 StartCom을 크롬 61버전부터 더 이상 신뢰하지 않겠다고 밝힌바 있습니다.


(▶ 참고 : 중국 인증 기관, ‘실수로’ GitHub 도메인용 SSL 인증서 배포해 , Mozilla, 더이상 Wosign과 StartCom의 인증서를 신뢰하지 않기로 결정 )


이는 지난 2016년 8월 17일, Github의 보안 팀이 중국의 인증 기관인 WoSign이 승인 없이 익명의 GitHub 사용자에게 GitHub의 도메인들 중 하나의 base 인증서를 발행해준 것을 구글에 알린 후 시작 되었습니다.


이 제보를 받은 후, 구글은 Mozilla와 보안 커뮤니티들과 함께 조사를 시작해 WoSign이 인증서를 잘못 발행한 다른 사례 수 건을 추가로 발견했습니다.


이에 구글은 지난해부터 WoSign과 StartCom이 2016년 10월 21일 이전에 발행한 인증서를 제한하기 시작했으며, 크롬 56부터 여러 버전에 걸쳐 화이트리스팅 된 호스트명들을 삭제하기 시작했습니다.


그리고  곧 출시할 Chrom61에서 화이트리스트를 제거할 것이며, 현존하는 WoSign과 StartCom에서 발행 된 인증서들을 신뢰하지 않을 것이라고 밝혔습니다.


작년, 애플과 Mozilla는 기술적 문제들 및 관리 실패를 이유로 그들의 웹 브라우저에서 WoSign과 StartCom이 발행한 인증서를 신뢰하지 않기 시작했습니다.


Mozilla의 trusted root program 책임자인 Kathleen Wilson은 “우리는 그들이 인증 기관들이 SHA-1 SSL 인증서를 발행할 수 있는 마감 기한인 2016년 1월 1일을 피하기 위해 SSL 인증서를 백데이팅하고 있는 것을 발견했다. 이는 매우 심각한 일이다.”

“또한, Mozilla는 WoSign이 StartCom이라는 다른 인증 기관의 완전한 소유권을 획득했다. Mozilla의 정책은 이러한 정보를 공개하도록 되어있지만, 해당 기관은 공개하지 않았다.”고 밝혔습니다.


2017년 9월 7일부터, WoSign이나 StartCom의 HTTPS 인증서를 사용하는 사이트를 방문하는 사용자들은 브라우저에서 경고를 보게 될 것입니다.


따라서, O’Brien은 WoSign이나 StartCom이 발행한 인증서를 사용하고 있는 웹사이트들은 크롬 사용자의 불편을 최소화 하기 위해 인증서를 변경하는 것을 고려해보는 것이 좋을 것이라고 밝혔습니다.





출처 :

http://thehackernews.com/2017/07/chrome-certificate-authority.html



티스토리 방명록 작성
name password homepage