적격 웹사이트 인증증명서

Qualified website authentication certificate
적격 트러스트 서비스의 EU 트러스트 마크.

인정 Web 사이트 인증 증명서(QWAC 증명서)는, 유럽연합(EU)의 eIDAS 규제에 정의되고 있는 신뢰 서비스에 근거하는 인정 디지털 증명서입니다.

2016년 유럽 연합 사이버 보안 기관 보고서는 유럽의 웹사이트 인증 시장을 개선하고 자격 있는 웹사이트 인증 인증서를 성공적으로 도입하는 데 있어 가장 중요한 측면을 목표로 하는 확장 접근법으로 6가지 전략과 12가지 권장 조치를 제안했다.[1]시장에서의 몸값 투명성

QWAC(다른 표준과의 관련)

웹 사이트 인증 인증서에는 다양한 유형이 있으며, 인증서 제목에 포함된 내용으로 구분됩니다.도메인 검증 완료(DV), 조직 검증 완료(OV), 확장 검증(EV)이 있습니다.또 하나의 구별은 증명서에 의해 보호되는 도메인의 수입니다.단일 도메인, 와일드카드, 다중 도메인Extended Validation Certificate에는 고유한 발행 정책 세트가 있으며 CA/Browser Forum에 의해 규정된 고도의 증명서 가입자 ID 검증이 필요합니다.따라서 이들 증명서는 시판되고 있는 모든 TLS 증명서의 최고 수준의 ID 보증을 갖추고 있습니다. "EV TLS Certificate Requirements". CABF. EV 증명서는 어떤 브라우저를 사용하느냐에 따라 녹색 주소 표시줄, 녹색 텍스트 및 URL에 합법적인 회사 이름이 있는 것으로 브라우저에서 구분되었습니다.Google과 UC[2] Berkley가 실시한 조사에서는, 유저가 이러한 지표의 유무에 근거해 행동을 현저하게 변화시키지 않는 것을 확인했습니다.이 연구 결과는 브라우저 시장 [3]점유율 1위를 차지한 구글이 인증서 종류 간 차별화를 중단하도록 동기를 부여했다.EU는 2018년에 CABF에 접근하여 EV 인증서에 추가 환자 정보를 포함하기 위해 기존 EV 요건을 갱신할 것을 파트너에게 요청했다.구글은 다른 브라우저에 이어 이미 EV 표시를 폐지하는 과정에 있었으며 EU가 EV 인증서를 사용하지 못하도록 했다.2019년을 기점으로 대부분의 주요 브라우저는 더 이상 EV 인증서에 대한 강력한 표시를 하지 않습니다.EU와 미국의 대부분의 금융기관은 EV 증명서를 계속 사용하고 있다.

브라우저가 새로운 eIDAS 식별 정보를 수용하기 위해 기존 EV 요건을 수정하는 것을 꺼리면서 eIDAS 규제 당국은 정부의 TSP(신뢰 서비스 공급자) 인증에 의존하는 새로운 병렬 보안 구조를 도입하기 시작했습니다.이는 기존의 복수 이해관계자 인증국(CA) 시스템과 함께 존재합니다.병렬 보안 구조는 주로 정부가 의무화한 CA 거버넌스에 관한 접근법에서 위험을 식별한 업계 이해관계자들에게 우려를 표하며, 구현이 [4][5]웹에서 개인의 프라이버시를 침해할 수 있다는 우려를 제기합니다.

eIDAS 규제

eIDAS 규정에서 신탁 서비스는 일반적으로 TSP에 의해 제공되는 전자 서비스로 정의되며, 전자 서명, 전자 타임스탬프, 전자 등록 배송 서비스 및 웹 사이트 [6][7]인증으로 구성됩니다.

본질적으로, eIDAS 규정은 다음을 [8]촉진하기 위한 프레임워크를 제공합니다.

  • 투명성과 책임: TSP와 책임에 대한 명확한 최소한의 의무.
  • TSP의 보안 요건과 함께 서비스의 신뢰성을 보증합니다.
  • 기술적 중립성: 특정 기술에 의해서만 충족될 수 있는 요건을 회피합니다.
  • 시장 규칙과 표준화의 확실성.

내용

웹사이트 인증증명서는 eIDAS 규정에서 정의된 5가지 신뢰서비스 중 하나입니다.제45조에서는 적격 웹사이트 인증증명서를 발행하는 신탁서비스 제공자의 요건을 정하고 있으며, 이는 전 절에서 기술한 적격신탁서비스 제공자의 요건을 모두 적용하는 것을 의미한다.Annex IV는 웹 사이트 [7]인증에 적합한 증명서의 내용을 정의합니다.

  1. 증명서가 웹 사이트 인증을 위한 수식 증명서로 발급되었음을 나타냅니다.
  2. 적격증명서를 발행하는 적격신탁서비스 프로바이더를 명확하게 나타내는 일련의 데이터(그 프로바이더가 확립되어 있는 회원국을 포함)
    1. 법인의 경우: 공식 기록에 기재된 이름 및 해당하는 경우 등록번호
    2. 그 사람의 이름, 즉, 그 사람의 이름.
  3. 자연인의 경우: 적어도 증명서를 발급받은 사람의 이름 또는 가명.가명을 사용할 경우에는 그 가명을 명확히 표시해야 한다.법인의 경우: 적어도 증명서가 발급된 법인의 이름과 공식 기록에 기재된 등록번호(해당하는 경우)
  4. 증명서를 발급받은 자연인 또는 법인의 주소 요소(적용되는 경우) 및 공식 기록에 기재된 주소 요소(적용되는 경우)
  5. 증명서를 발급받은 자연인 또는 법인에 의해 운영되는 도메인 이름.
  6. 증명서의 유효 기간.
  7. 증명서 ID 코드. 수식된 신뢰 서비스 공급자에 대해 고유해야 합니다.
  8. 발행자격신탁업자의 선진전자서명 또는 선진전자인감
  9. 포인트 8의 고급 전자서명 또는 고급 전자인감을 지원하는 증명서가 있는 장소는 무료로 이용하실 수 있습니다.
  10. 수식 증명서의 유효 상태를 문의하는 데 사용할 수 있는 증명서 유효 상태 서비스의 위치.

비판

2021년에 제안된 eIDAS 업데이트는 브라우저가 정확한 방법을 명시하지 않고 새로운 형태의 웹 사이트 인증을 보장하도록 요구합니다.Chrome, Safari Firefox와 같은 웹 브라우저는 정부가 지정한 "신뢰할 수 있는 서비스 프로바이더" 목록을 통합하고 다양한 신뢰, 법적,[5][4] 기술적 및 보안상의 우려에도 불구하고 TSP가 발행하는 QWAC를 수용하고 "사용자에게 친숙한 방식으로 표시"해야 합니다.Internet Society와 Mozilla는 규제의 요건이 다른 요건의 위반을 요구한다고 말한다.또, 기술적인 중립성과 상호 운용성을 해치고, 최종 유저의 프라이버시를 해치고, 위험한 시큐러티 [9]리스크를 발생시킬 우려가 있습니다.대신 기존 CA 프레임워크를 기반으로 계속 구축할 것을 제안합니다.

레퍼런스

  1. ^ "Qualified Website Authentication Certificates". ENISA. May 16, 2016. Retrieved 2022-03-06.
  2. ^ Felt, Adrienne Porter; Reeder, Robert W.; Ainslie, Alex; Harris, Helen; Walker, Max; Thompson, Chris; Acer, Mustafa; Morant, Elisabeth; Consolvo, Sunny (2016). "Rethinking Connection Security Indicators". SOUPS.
  3. ^ "W3Counter: Global Web Stats - January 2018". www.w3counter.com. Retrieved 2022-04-28.
  4. ^ a b "Experts urge EU not to force insecure certificates in web browsers". BleepingComputer. Retrieved 2022-03-06.
  5. ^ a b "Internet Impact Brief: Mandated Browser Root Certificates in the European Union's eIDAS Regulation on the Internet". Internet Society. 2021-11-08. Retrieved 2022-03-06.
  6. ^ Turner, Dawn. "Understanding eIDAS". Cryptomathic. Retrieved 12 April 2016.
  7. ^ a b "Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC". EUR-Lex. The European Parliament and the Council of the European Union. Retrieved 18 March 2016.
  8. ^ Turner, Dawn M. "Trust Service Providers according to eIDAS". Cryptomathic. Retrieved 17 October 2017.
  9. ^ Mozilla (2020-10-01). "European Commission's Open Public Consultation on eIDAS - Attachment to Mozilla's Survey Response" (PDF).