SSL 인증서 체인에는 브라우저 및 클라이언트와의 신뢰를 구축하는 데 도움이 되는 여러 인증서가 포함되어 있습니다.
다음은 이러한 체인 인증서와 "신뢰 체인"이 작동하는 방식에 대한 지식입니다.
웹사이트 소유자는 SSL/TLS 인증서가 성공적인 온라인 비즈니스의 전제 조건이라는 것을 알고 있습니다.신뢰를 높이고 데이터 보안을 보호하는 것 외에도 Google의 관점에서 웹사이트 순위를 높이는 데 도움이 됩니다.그러나 SSL 인증서는 버블링으로 실행되지 않습니다.SSL 인증서라는 체인의 일부입니다.체인은 안전하지 않은 인터넷을 통해 안전한 온라인 통신을 수행할 수 있도록 하는 대규모 공개 키 인프라의 필수 불가결한 부분입니다.
그러나 인증서 체인이란 정확히 무엇입니까?신뢰 구축이 왜 그렇게 중요한가요?우리는 체인의 다른 구성 요소, 규칙이 무엇인지, 더 큰 공개 키 인프라의 일부로 함께 작동하는 방법을 분석할 것입니다.
SSL 인증서 체인이란 무엇입니까?
그렇다면 SSL 및 TLS의 인증서 체인은 무엇입니까?인증서 체인에는 루트 인증서, 하나 이상의 중간 인증서 및 서버(리프) 인증서가 포함됩니다.그 중 일부가 무엇인지 모르더라도 걱정하지 마십시오.이것이 의미 있는 방식으로 이러한 용어를 분해하는 데 도움이 되는 우리의 목적입니다.
이곳에 오시면 이미 서버인증서가 익숙하실 것입니다. 웹사이트용으로 구매한 인증서이기 때문입니다.도메인 앞의 URL 표시줄에 자물쇠 아이콘이 나타나게 하기 위한 것입니다.URL에 "HTTPS"가 표시되는 이유이기도 합니다..
보안 사이트의 자물쇠를 클릭하면 SSL 인증서의 세부 정보를 볼 수 있습니다.아래 스크린샷은 보고 있는 내용에 대한 아이디어를 제공합니다.예를 들어 SectigoStore.com에서 인증서를 발급한 조직의 이름을 볼 수 있습니다.이 경우 [미국] Rapid Web Services LLC입니다.
이것은 우리가 SSL/TLS 인증서에 대해 이야기할 때 일반적으로 말하는 것입니다.체인의 다른 두 인증서는 해당 서버 인증서에 대한 신뢰를 설정하는 데 도움이 됩니다.
SSL 인증서는 인증 기관, 인증 기관 또는 CA(약어)라고 하는 평판이 좋고 신뢰할 수 있는 타사에서 발급합니다.그러나 CA는 웹사이트에 인증서를 직접 발급하지 않습니다.신뢰 체인 또는 인증서 체인을 사용하면 프로세스를 더 빠르고 쉽게 만들 수 있습니다.
신뢰의 사슬은 나무와 같다...
이러한 인증서가 함께 작동하는 방식을 이해하려면 나무를 상상해 보십시오.나무에는 뿌리, 줄기, 그에 상응하는 가지와 잎이 있습니다.인증서 체인의 구조는 트리와 다르지 않습니다.
트리와 마찬가지로 루트 인증서는 다른 모든 인증서의 기반이 됩니다.트리에 많은 분기가 있는 것처럼 CA는 루트 인증서에서 둘 이상의 중간 인증서를 발급할 수 있습니다.서버 인증서를 나타내는 잎에도 동일한 비유가 적용됩니다.
이 사이트의 SSL 인증서를 계속 탐색하면 많은 것을 배우게 될 것입니다.따라서 "자격증"옵션을 선택하면 아래와 같은 팝업 창이 나타납니다.
이 이미지는 인증서의 목적, 인증서를 발급한 사람(인증 기관), 인증서를 발급한 사이트 및 만료 날짜와 같은 인증서에 대한 정보를 보여줍니다.
또한 인증서에 대한 자세한 정보로 이동하여 인증서에서 사용하는 프로토콜과 알고리즘을 이해하는 데 도움이 됩니다.공개 키를 암호화하는 데 사용되는 알고리즘을 보여주고 사이트의 공개 키도 제공합니다.
이제 다음 부분인 인증 경로로 넘어갑니다.이 문서의 맥락에서 이것은 인증서 정보 문서의 가장 중요한 부분입니다."를 클릭하면인증 경로", 루트 인증서, 중간 인증서 및 서버 인증서가 표시됩니다.
위의 그림에서 다음을 볼 수 있습니다.
- 루트 인증서는 " Sectigo(이전의 Comodo CA)."이것은 중간 CA 인증서에 서명하는 자체 서명된 인증서입니다.
- 중간 인증서는 " COMODO RSA 확장 인증 보안 서버 CA"."인증서는 루트 인증서와 서버 인증서 사이의 중개자(즉, 중개자) 역할을 합니다.따라서 중간 인증서는 자체 개인 키를 사용하여 루트 인증서의 개인 키를 보호하기 위해 서버 인증서에 서명합니다.
- 서버 인증서는 " www.sectigostore.com "。이것은 일반적으로 SSL/TLS 인증서라고 하는 웹 서버에 설치하는 인증서 유형입니다.
리프 인증서는 중간 지점에서, 중간 지점은 루트에서 가지므로 앞에서 설명한 트리가 거꾸로 된 것으로 가정합니다.위의 스크린샷에서는 기본적으로 나무의 뿌리가 위쪽에 있고 잎이 아래쪽에 있습니다.
SSL 인증서 체인의 다양한 부분 이해
다음 그림은 SSL 인증서 체인과 서명 기관에 대한 자세한 정보를 보여줍니다.
이 섹션에서는 분해할 뿐만 아니라루트 인증서 및 중간 인증서차이점,그리고 또한분해하다서버 인증서.
루트 인증서
루트 인증서(신뢰할 수 있는 루트라고도 함)는 인증 기관에서 직접 발급한 인증서입니다.다른 인증서와 달리 루트 인증서는 CA에서 자체 서명합니다.루트 인증서의 개인 키는 SSL 인증서 계층 구조의 다른 인증서에 서명하는 데 사용되는 키입니다.
CA는 몇 가지 루트 인증서만 발급하므로 엄격하게 보호됩니다.실제로 이러한 루트 인증서는 일반적으로 브라우저 및 운영 체제의 "신뢰 저장소"에 사전 설치됩니다.루트 인증서는 모든 당사자가 루트 인증서를 발급한 CA를 신뢰하는 데 동의하기 때문에 인증서 체인에서 가장 중요한 것으로 간주됩니다.루트 인증서를 발급한 CA가 신뢰할 수 없거나 취소된 경우(즉, 더 이상 신뢰할 수 없는 것으로 간주됨) 전체 체인이 붕괴됩니다.
특히 이러한 인증서를 보호하기 위해인증서 취소됨상황루트 CA는 일반적으로 중간 CA를 사용하여 신뢰할 수 있는 루트 인증서와 최종 서버 인증서 사이에 공간을 배치합니다.웹사이트의 리프(서버) 인증서를 루트 인증서에서 직접 발급하지 않습니다. 그렇게 하는 것은 너무 위험하기 때문입니다.
중급자격증
중간 인증서는 루트 인증서와 최종 엔터티의 서버 인증서 사이에서 버퍼 역할을 합니다.인증서를 발급한 루트 인증서의 개인 키로 서명됩니다.이것이 중간 인증서의 신뢰가 설정되는 방법입니다.중급자격증발급사SSL/TLS(서버) 인증서에 서명한 발급자이며,테마ID를 증명하는 사이트 또는 조직입니다.
둘 이상의 중간 인증서가 있을 수 있지만 하나 이상의 중간 인증서 없이 인증서 체인을 소유할 수 없습니다.
서버 인증서
CA는 사용자가 처리하려는 도메인에 서버 인증서(리프 인증서라고도 함)를 발급합니다.사람들은 SSL/TLS 인증서에 대해 이야기할 때 이에 대해 이야기합니다.인증서가 서버에 제대로 설치된 후,URL 시작표시됩니다"HTTP" 대신 "HTTPS".HTTPS는 사이트가 안전하지 않은 프로토콜이 아닌 안전한 암호화 프로토콜을 사용한다는 것을 의미합니다.또한 URL 표시줄에서 도메인 이름 앞에 자물쇠가 나타납니다.
인증서 체인은 어떻게 작동합니까?
SSL/TLS의 인증서 체인을 신뢰 체인이라고도 합니다.그 이유는 브라우저가 웹사이트의 SSL 인증서를 수신할 때 해당 웹사이트의 적법성을 확인해야 하기 때문입니다.
이렇게 하려면 서버 인증서로 시작한 다음 루트 인증서로 반환하여 신뢰를 설정합니다.인증서의 공개 키를 사용하여 서명을 일치시킨 다음 동일한 방법으로 중간 인증서의 공개 키와 서명을 확인합니다.브라우저가 신뢰 저장소에 저장하는 루트 인증서에 마침내 도달할 때까지 이 작업을 계속합니다.
이 체인의 인증서를 확인할 수 없으면 체인이 끊어지고 확인이 실패합니다.브라우저는 인증서에 대해 사용자에게 경고합니다.그 못생긴 "안전하지 않음" 및 "연결이 비공개가 아닙니다"라는 메시지를 알고 있습니까?
네, 그렇게 합니다.따라서 신뢰 체인이 작동하려면 체인의 링크가 중단되지 않도록 해야 합니다.
아직도 내 말 듣고 있어?그런 다음 한 단계 더 나아가 인증서 체인이 어떻게 작동하는지 설명하겠습니다.그런 다음에는 공개 키 인프라(또는 PKI) 뒤에 있는 기술과 프로세스에 대해 논의할 수 있습니다.
신뢰 체인 검증 프로세스의 작동 방식
기존 계층 구조를 따를 경우 루트 CA는 중간 CA를 인증하고 이 CA는 차례로 서버 인증서에 서명합니다.따라서 이를 염두에 두고 사람들은 검증을 위해 신뢰 체인을 어떻게 사용합니까?
사용자가 웹사이트를 방문하면 서버에서 인증서를 보냅니다.다음과 같은 다양한 정보를 확인합니다.
- 인증서를 발급한 엔터티 및 개체입니다.
- 인증서가 발급된 날짜 및 유효 기간입니다.
- 유효한 디지털 서명이 있는 경우.
- 인증서가 취소되었는지 여부입니다.
인증서가 합법적인지 확인하려면 신뢰 체인을 확인해야 합니다.여기에서 브라우저는 서버 인증서에서 시작하여 루트 인증서를 포함한 모든 인증서를 확인합니다.가장 일반적인 인증서 체인 확인 프로세스는 반대입니다.즉, 발급한 인증서의 중간 인증서와 서버 인증서의 정보를 먼저 확인한 다음 발급 인증서의 루트 인증서와 중간 인증서를 확인해야 합니다.
모든 인증서가 체크아웃되고 보안 연결에 필요한 기타 프로세스가 완료되면 웹 사이트는 URL 표시줄에 자물쇠 기호 또는 "HTTPS"를 로드합니다.그렇지 않으면 경고가 발행됩니다.
PKI 란 무엇입니까?
PKI는 매우 복잡하고 상세한 주제이므로 여기에서 간략한 개요를 제공합니다.공개 키 인프라는 공개 채널의 보안 암호화를 가능하게 하는 프로세스, 전략 및 기술의 프레임워크를 설명하는 일반적인 용어입니다.이는 복잡한 수학적 알고리즘을 사용하여 인터넷에서 메시지의 암호화 및 해독을 용이하게 하는 공개 키 암호화에 의존합니다.
이러한 알고리즘은 PKI 프레임워크의 일부입니다.기술의 발전으로 알고리즘은 시간이 지남에 따라 점점 더 복잡해집니다.
PKI는 키 쌍을 사용하여 데이터를 암호화하고 해독합니다.관련된 키 유형은 사용하는 암호화 유형에 따라 다릅니다.예를 들어 대칭 암호화는 단일 키를 사용하여 데이터를 암호화하고 해독합니다.(이를 위해서는 발신자와 수신자가 동일한 키 복사본을 가져야 합니다.) 반면에 비대칭 암호화에는 공개 키와 개인 키라는 두 가지 고유한(그러나 수학적으로 관련된) 키가 있습니다.누구나 공개 키를 사용하여 데이터를 암호화할 수 있습니다.반면에 개인 키는 데이터를 해독하므로 데이터 유출을 방지하기 위해 보호해야 합니다.
고유하지만 수학적으로 관련된 두 개의 키를 사용하면 사이트 방문자의 클라이언트가 무단 액세스나 데이터 조작에 대한 걱정 없이 안전한 메시지를 전달할 수 있습니다.(종종 메시지 가로채기 공격 또는 MitM이라고도 함)
결론
SSL/TLS 인증서는 보안 HTTPS 프로토콜을 사용하여 웹사이트의 보안을 보장합니다.이 보안 프로토콜을 구현하려면 신뢰 체인이 필수적입니다.인증서 체인의 트리 구조로 인해 서버와 빠르고 안전하게 연결을 설정할 수 있습니다.또한 인증서가 합법적인지 여부를 확인하기 위해 인증서를 원래 루트 디렉터리로 쉽게 추적할 수 있습니다.이것은 모두에게 윈윈입니다.
