SSL 구성을 위한 인증서 설명
개발 2010. 4. 8. 13:05인증서를 신청할때도 용도에 맞게 신청해야 된다.
verisigne을 기준으로 SecureID / GlobalID 두가지가 있는데,
Secure는 SGC 가 적용이 안된 것
따라서 128bit SSL을 지원안하는 클라이언트를 위해서는 Global용 인증서을 발급받아야 된다. 가격은 global이 두배정도 비싸다.
아래는 설명
출처 : http://www.certkorea.co.kr/doc.asp?t_why128
왜 128비트 SSL인증서를 사용해야 하는가?
- 1. 들어가면서
2. 40비트냐? 128비트냐?
3. 128비트 암호화 통신을 하려면?
4. 왜 꼭 SGC 128비트 인증서를 사용해야 하는가?
5. 128Bit SGC 인증서를 구별하는 방법은?
6. 인증서를 바르게 구매하려면?
1. 들어가면서
최근에 개인정보 보호 및 암호화 통신에 대한 관심이 높아지면서 국내에서도 많은 웹서비스 업체들이 SSL(Socket Secure Layer)를 통한 데이터 보호에 박차를 가지고 있습니다. 이에 발맞추어 베리사인을 비롯한 세계적인 글로벌 인증회사들이 국내에 SSL 서버 인증서를 직접 공급하기 시작하였습니다. SSL서버 인증서는 크게 흔히 128비트, 40비트 인증서로 나누어 집니다. 또한, 인증서의 가격차이도 크게 2배이상 되므로 인증서를 구매하는 회사에 따라서는 어떤 인증서를 구매해야 할지 망설이기도 합니다.
본 기술문서에서는 SSL 인증서의 종류에 따른 서비스 차이는 무엇이며, 현재의 인터넷 경향을 비추어 어떤 인증서를 구매해야 하는지 각 인증서의 종류와 회사 그리고 가격대비 인증서 구매 방법들을 가이드 하기 위한 목적으로 만들어 졌습니다. 본 문서는 써트코리아에서 제작되었으며, SSL 제품판매에 유리한 내용이 포함되어 있을 수도 있으므로, SSL 인증서 고객들의 참고용으로 사용하기를 권장합니다.
비트(Bit)는 웹브라우저와 웹서버 사이의 암호화 통신을 할때, 사용하는 암호화 강도를 보여주는 숫자입니다. 강도에 따라 40,56,128,512,1024비트의 다섯단계로 나누어지며, 숫자가 클수록 해독하기 어렵습니다. 그동안 대부분의 SSL통신 이 40~56비트 암호화에서 이루어졌으며, 128이상의 경우 금융거래 같은 중요한 정보를 주고 받을 때 사용하고 있습니다.
그러나 1999년 7월 이전에는 미국의 암호화제품 수출금지법에 의해 128비트용 인터넷익스플러와 넷스케이프 등의 웹브라우저를 미국외에서는 사용할 수가 없었습니다. 99년 7월 이후 미 상무부의 결정에 따라 돈세탁방지 협약에 가입된 45개국의 금융기관에 56비트 이상 암호화 제품의 수출을 허락 했으며, 2000년에는 북한,이라크 등 테러지원국을 제외한 전 세계에 암호화제품의 수출이 가능해졌습니다.
이는 세계적인 보안회사인 RSA가 매년 개최하는 99년 암호 해독대회에서 10만대의 PC가 연결된 EEF라는 사이트에서 56Bit 암호메세지를 22시간 15분만에 해독해 내고 난 이후에 결정된 사항입니다. 40Bit 암호화 수준은 이미 쉽게 해킹이 가능하며, 56Bit 역시 쉽지는 않아도 해킹이 가능하다는 것이 밝혀졌습니다.
HTTPS라는 사이트로 접근했을때, 자신의 브라우저 아래쪽 노란 자물쇠를 클릭하면 오른쪽과 같이 통신 암호화 강도를 볼수 있습니다. 이때 암호화 강도가 40 혹은 56으로 나타난다면 당신의 SSL보안 접속이 결코 안전하지 않은 것입니다.
키 길이가 한 비트씩 증가할 때마다 코드 해독에 드는 노력은 배가 됩니다. 128비트로 암호화된 메시지는 40비트 메시지보다 2^40배 해독하기 힘들므로 아직은 매우 안전하다고 알려져 있습니다.
그렇다면 현재 모든 나라에서 모든 SSL관련 암호화 제품들이 128비트의 높은 수준의 암호화를 지원하느냐 하면 그렇지 못합니다. 99년 미 상무부의 수출금지법 완화 조치 이후에도 그사이에 이미 배포된 낮은 수준의 암호화 제품의 문제 뿐만 아니라, 128비트의 높은 수준의 암호화 제품을 사용하기 위해서는 웹브라우저나 웹서버 운영자들 또한 테러지원국에서 사용하지 않는다는 동의를 한 후 128비트 사용을 위한 업그레이드 패키지를 받아서 사용해야만 합니다.
* 128비트 암호화 통신을 하기 위해서는 웹브라우저 사용자가 자신의 웹브라우저의 암호화 강도를 높이기 위해 직접 소프트웨어 업그레이드를 하는 것입니다.
자신이 사용하는 웹브라우저의 암호화 강도를 쉽게 알아보기 위해서는, IE의 경우, 도움말-> Internet Explorer정보에 보면 브라우저의 암호화 수준을 볼수 있습니다. 아직 40 혹은 56비트로 표시되어있다면, IE 128비트 다운로드페이지를 통해 웹브라우저를 업그레이드 해야합니다.
다음의 사이트에서 높은 수준의 암호화 프로그램으로 업그레이드를 해야 합니다. * 따라서, MS가 개발한 SGC(Server Gated Cryptography) 라는 방법을 통해 웹서버 인증서가 SGC를 지원하면, SGC Step-up기술을 지원하는 특정 브라우저에서는 암호화 강도에 상관없이 128비트 암호화 통신이 가능하게 됩니다.
위의 도표는 각 브라우저와 OS별로 기본으로 제공하는 암호화 강도와 SGC기능을 가진 인증서를 사용할 경우, 브라우저별 128비트 통신이 가능한 브라우저와의 관계를 기술한 것입니다. 이에 따르면, Verisign의 SSL Global ID인증서의 경우, IE4.0과 NS4.0이상, Thawte의 SuperCert의 경우 IE5.01과 NS4.7이상에서는 OS나 암호화 강도에 상관없이 128비트 통신이 가능합니다.
최근들어 Microsoft를 비롯하여 넷스케입등이 기본적으로 128비트 통신이 가능한 브라우저를 출시하기 시작하였습니다. IE6.0과 NS6.0 버전들은 Windows2000을 제외한 대부분의 OS에서 128비트 통신을 지원합니다. 위에서 설명한 SGC기능을 포함하지 않고 있는 인증서의 경우는 웹브라우저가 128비트 버전으로 업그레이드 했거나, 최신 웹브라우저를 사용하는 경우 128비트 통신이 가능합니다. 이것은 인증서들이 브라우저의 암호화 강도에 따라 통신을 한다는 것을 의미합니다. 브라우저가 40/56/128 각각 지원하는 암호강도에 따라 그에 따른 통신을 하게 되는 것입니다.
따라서, 이전에 40혹은 56비트 통신을 지원하던 SSL인증서들이 128비트 통신까지도 지원할 수 있게 되었습니다. 이에따라 40비트 128비트로 나누어 지던 인증서가 암호강도에 따른 제품명으로 나누는 것이 무의미해졌습니다. 따라서 베리사인의 경우 40/128비트 제품명이 SSL SecureID/Global ID, Thawte의 경우 SSL Certificate/SuperCert라는 제품명으로 나누어 지게 되었습니다. 또한, 이전에 40비트로 통용되던 기타 인증회사의 인증제품도 128비트 지원이 가능하게 된 것입니다.
그러나, 아직도 대부분의 사용자들이 자신의 브라우저를 업데이트 하지 않거나 128비트를 기본적으로 채용하는 웹브라우저를 사용하고 있지 않습니다. 아래의 표는 현재 사용하고 있는 인터넷 사용자들의 웹브라우저 분포를 나타냅니다.
이 도표에 따르면 아직도 80%이상의 사용자들이 128비트 암호화가 기본적으로 제공되지 않는 웹브라우저나 OS를 사용하고 있으며, 이러한 추세는 당분간 계속될 것으로 여겨집니다. 도표에서 Up이라고 표시된 부분은 Verisign Global ID, Thawte Supercert을 제외한 기타 인증서를 사용할 경우 128비트 통신을 위해 브라우저 업그레이드를 해야 하는 경우를 표시하였습니다.
128비트 SGC인증서는 Verisign, Thawte, Globalsign, GTE, SecureNet 등의 5개 인증기관에서 서비스 하고 있으며 이증 Globalsign은 웹서버에 SGC 를 위한 중개인증기관 CRT화일을 설치해야 가능하며, SecureNet은 호주내에서만 서비스가 가능합니다. 따라서, 전세계적으로 128비트 SGC인증서를 지원하는 인증기관은 Verisign과 Thawte 뿐이며 이 회사의 Global ID와 SuperCert가 이 제품에 해당됩니다.
2001년 11월 현재 SSL 인증서의 시장점유율은 Verisign과 Thawte가 각각 40.5%, 34.5%로 업계를 거의 점유하고 있으며 이는 SGC를 지원하는 128비트 인증서를 제공하는 유일한 업체이 때문입니다. 128비트 SGC인증서를 구별하는 방법은 SSL사이트를 접속했을때, 나오는 열쇠를 클릭하면, 나오는 인증서의 발급자가 Verisign 혹은 Thawte이고 자세한 인증 정보에서 확장키사용이라는 항목이 있으면 SGC를 지원하는 128비트 버전의 인증서 입니다.
단, 인증서 Root 인증경로가 Thawte Server CA라 하더라도 그 이하에 Entrust 혹은 Equifaxsecure CA가 포함되어 있다면 이는 Entrust 혹은 Equifaxsecure, Tucows등이 판매하는 Thawte의 SSL Certificate와 동급의 인증서이며, 이는 Thawte의 Chained CA로서 판매되는 인증서입니다. 이는 SGC기능이 포함되어 있지 않는 브라우저 암호화 강도에 따라 통신을 하는 인증서들입니다
FAQ의 1.7 Equifax와 Entrust는 Thawte와 어떤 관계입니까? 참조.
각 인증회사의 인증서는 SGC기능을 지원하는 것과 그렇지 않은것으로 나누어 집니다. SGC 기능 지원 여부와 보험배상 범위, 기술지원 범위에 따라 가격은 매우 달라집니다. 아래의 가격조견표를 통해 비교해 보시기 바랍니다.
인증서의 결정기준
* 국내업체별 가격조견표 2. 40비트냐? 128비트냐?
Breaking the previous record of 56 hours, Distributed.Net, a worldwide coalition of computer enthusiasts, worked with the Electronic Frontier Foundation's (EFF) "Deep Crack," a specially designed supercomputer, and a worldwide network of nearly 100,000 PCs on the Internet, to win RSA Data Security's DES Challenge III in a record-breaking 22 hours and 15 minutes.
따라서, 이제 인터넷상에서도 40비트 혹은 56비트 암호화 방식으로 통신을 하는 것은 정보보호 관점에서는 안전하지 않음이 밝혀졌습니다.
* http://www.rsasecurity.com/news/pr/990119-1.html 3. 128비트 암호화 통신을 하려면?
이러한 업데이트를 통해 128비트 통신을 할 수 있으나, 이것은 웹브라우저 사용자들에게 매우 귀찮은 일이므로, 웹서버 개발회사와 인증회사들이 웹브라우저의 암호화 강도에 상관없이 128비트 통신이 가능한 방법을 모색 하게 되었습니다. 실제로 웹서버는 웹브라우저에 비해 적으며, 단기간에 128비트 통신이 가능한 환경을 만들어 낼 수 있기 때문입니다. 웹브라우저가 기본적으로 40혹은 50비트 통신만 가능한 것으로 만들었어도 특정 웹서버가 128비트가 통신을 요청한다면, 128비트 통신이 가능하도록 하는 기술이 Microsoft에 의해 개발되었습니다.
브라우저별 기본 암호화 강도와 SGC지원 인증서와의 관계 4. 왜 꼭 SGC 128비트 인증서를 사용해야 하는가?
5. 128Bit SGC 인증서를 구별하는 방법은?
6. 인증서를 바르게 구매하려면?
http://www.crosscert.com/guide/guide.htm
http://www.thawte.co.kr/pricing.asp
http://www.entrustkorea.net/certi/sub03/sub0301.html
* 국내업체별 가격비교표
http://www.thawte.co.kr/help.asp?price_compare
다음은 국제가격입니다.
http://www.verisign.com/products/site/secure/index.html
http://www.thawte.com/buy/contents.html
http://www.entrust.net/products/webcerts/pricing_web.htm
참고자료