포스팅 내용

국내외 보안동향

Mozilla, 더이상 Wosign과 StartCom의 인증서를 신뢰하지 않기로 결정

Mozilla, 더이상 Wosign과 StartCom의 인증서를 신뢰하지 않기로 결정


Mozilla가 Wosign CA의 부당한 행위에 대한 처벌로, WoSign과 StartCom에서 정식으로 인증한 서명을 신뢰하지 않기로 했다고 밝혔습니다. CA 중지는 1년동안 유효하며, WoSign과 StartCom이 1년 후에 Mozilla의 조건을 만족한다면, 다시 인증기관으로 인정될 수 있습니다. 


WoSign은 2015년 4월 9일부터 4월 14일까지 392개의 동일한 넘버를 가진 인증서를 발급했습니다. 그리고 WoSign CA는 2015년 12월, 중국에서 만든 SM2 알고리즘으로 서명한 인증서 2개를 발급하였습니다. 이는 CA/Browser Forum Baseline Requirements을 위반하는 것입니다. 심지어는 StartCom CA를 몰래 인수하기도 했습니다. 이는 Mozilla의 CA정책에 위반되는 것입니다. 


조사결과에 따르면, WoSign CA에 존재하는 여러 문제들은 심각하지 않거나 WoSign의 잘못이 아닙니다. 그러나 일부 문제의 경우, 그 사안이 매우 심각합니다. 


신뢰도 측면에서 보았을 때 가장 증요한것은 WoSign이 고의로 인증서 날짜를 변경하여 브라우저에서 SHA-1인증서에 대한 제한을 우회한 점이 가장 치명적입니다. SHA-1으로 서명된 인증서는 더이상 안전하지 않기 때문에 주요 브라우저 개발업체들은 모든 CA들에게 2016년 1월 1일 이후로 SHA-1으로 서명한 인증서 발급을 중단하라고 요청하였습니다.  


하지만 WoSign은 2016년 1월 1일 이후에도 SHA-1 인증서를 발급하였으며, 고의로 서명일을 2016년 이전에 발급한 것처럼 조작했습니다. 또한 WoSign이 StartCom을 인수한 부분도 논란이 되고 있습니다. WoSign CA가 StartCom CA를 100% 인수할 수 있었으나, 회사 CEO가 WoSign의 지주회사인 Qihoo360이 승인할 때까지 승인을 거절한 것입니다.


또한 회사대표는 StartCom을 독립적으로 운영하는 것을 원했으며, 기존의 시스템을 계속 유지하였습니다. 그리고 충분한 기술력이 있는 StartCom에 대해, 인수를 완료한지 1개월 반 이후에도 WoSign의 시스템으로 인증서를 발급하였습니다. StartCom의 홈페이지인 StartSSL.com은 2015년 12월 18일 업데이트 시스템을 중단하였으며, 12월 22일 WoSign의 시스템으로 전면 개편되었습니다. 




참고 :

http://www.zdnet.com/article/mozilla-to-chinas-wosign-well-kill-firefox-trust-in-you-after-mis-issued-github-certs/

티스토리 방명록 작성
name password homepage