it-swarm-korea.com

SSL 인증을 제공하는 인증 기관이 중요합니까?

HTTPS를 사용하여 웹 사이트를 보호하려면 SSL 인증서를 어느 회사에서 얻었는지 또는 브라우저에서 인식하는 것이 중요합니까?


Area51에서 제안 .

34
AviD

나는 그것이 실제로 사용자의 특성에 달려 있다고 생각합니다.

99.9 %의 사용자는 브라우저를 통해 사이트를 방문 할 때 브라우저의 인증서를 CA 인증서가있는 회사에서 인증서를 구매 한 것으로 가정하면 오류가 발생하지 않습니다.

그러나 이것은 현재 배포 된 PKI 인프라에 더 큰 문제가 있음을 나타냅니다.

알려진 모든 CA는 다른 사이트에 대한 인증서를 만들 수 있으며 사이트의 적법한 소유자가 이미 다른 CA의 인증서를 가지고 있더라도 브라우저는 해당 인증서를 수락합니다.

이 방법은 어떤면에서는 좋지만 사이트 운영자가 원하는 경우 CA 공급 업체를 변경할 수 있다는 점에서 손상된 CA를 사용하여 임의의 사이트에 대한 인증서를 생성 할 수 있습니다. CNNIC의 CA 인증서가 Mozilla (및 기타) CA 목록에 추가되었을 때이 문제가 발생했습니다.

중국에 대한 선천적 불신이있는 것 같습니다 (아마도 "위대한 방화벽"과 관련이있을 수 있음). 사실 이것은 중국의 모든 사용자가 "파괴적인"사이트에 암호화 된 연결을 사용하려고 할 때 확인해야 함을 의미합니다 제시된 인증서는 CNNIC CA 인증서에 의해 서명되지 않았습니다.

다양한 사이트에서 제공하는 인증서를 모니터링하고 어떤 이유로 든 인증서가 변경되면 경고하는 편리한 Firefox 확장 (Certificate Patrol)이 있습니다.

10
Rogan Dawes

실제로 인증서를 얻는 곳이 중요합니다. 누구나 해커를 포함하여 인증서와 서명을 만들 수 있습니다. 따라서 각 브라우저에는 인증서를 압축하기 위해 검증 된 회사 목록이 있습니다. 따라서 verisign 등과 같은 국제 공인 회사에서 인증서를 받아야합니다.

4
Mohamed

한 가지 관점에서, CA의 루트 인증서가 모든 주요 브라우저에로드되는 한 전혀 중요하지 않습니다. 해당 브라우저에서 신뢰하는 CA의 SSL 인증서가 있으면 거의 모든 사용자가 인증서를 발행 한 사람을 신경 쓰지 않습니다.

예를 들어 내부 앱을 작성하고 있고 모든 사용자가 회사 직원이라고 가정합니다. 회사는 내부 전용 CA를 실행합니다. IT 부서는 모든 직원 시스템에 회사의 CA 인증서를 설치합니다. 따라서 직원이 앱을 방문 할 때마다 자물쇠가 표시되고 안전한지 알게됩니다.

자신 만 사용하는 웹 사이트의 경우와 유사합니다. 당신은 자기 서명 할 수 있고 괜찮을 것입니다.

다른 관점에서, 그것은 당신이 누구를 선택하는지 중요합니다. 다음과 같은 두 가지 이유로 엄격한 보안 절차가있는 CA가 필요합니다.

  1. 당신은 그들이 당신이라고 주장하는 다른 사람에게 (실수 또는 악의적으로) 인증서를 발급하기를 원하지 않습니다. 그러면이 제 3자가 웹에서 귀하를 가장 할 수 있으며 귀하와 귀하의 사용자는 망하게됩니다.
  2. 보안이 취약한 것으로 알려진 경우 모든 주요 브라우저는 브라우저에서 CA 루트 인증서를 제거하는 보안 업데이트를 발행합니다. (최근의 (2011 년 9 월) 예는 DigiNotar 를 참조하십시오.)이 경우 브라우저는 더 이상 기존 SSL을 신뢰하지 않으므로 서버에 새 CA를 빨리 찾아서 새 SSL 인증서를 설치해야합니다. 인증서.
4
bstpierre

브라우저가 인식하는 한. 브라우저에는 큰 CA를 처리하는 신뢰할 수있는 CA 목록이 있습니다. 더 큰 CA가 더 신뢰할 수있는 더 작은 것이 있습니다. 이것에 대한 유일한 트릭은 일반적으로 체인 인증서 또는 중간 인증서라는 웹 서버에 추가 인증서를 설치하여 브라우저가 CA에서 알고있는 것으로 신뢰 체인을 따라갈 수 있도록하는 것입니다. 이것은 최종 사용자에게 모두 투명합니다.

2
chs

중요합니다. 루트 자격 증명 저장소에서 쫓겨날 정도로 무능하거나 불명예스러운 CA를 선택하면 다른 CA와 연락하는 것이 좋습니다 quickly.

중요하지 않습니다 : 브라우저가 승인 한 모든 인증서가 동일하게 작동합니다.

중요하다 : 정보를 얻은 "파라노이드"사용자는 과거에 나쁜 일을 한 CA에 대해 걱정하지 않기 때문에 일부 사용자는 COMODO 인증서에 대해 거부하거나 최소한 질문을 할 것으로 예상합니다.

어쨌든 전체 SSL PKI는 쓸모가 없습니다!

'공세'플래그에 대한 수정 모드

1
corrector