루트 증명서

Root certificate
신뢰 체인과 같은 루트 증명서의 역할.

암호화컴퓨터 보안에서 루트 인증서는 루트 인증 기관(CA)[1]을 식별하는 공개인증서입니다.루트 증명서는 자기 서명(증명서가 크로스 서명된 루트에 의해 발행되었는지 여부 등)되어 X.509 기반의 Public Key Infrastructure(PKI; 공개키 인프라스트럭처)의 기반이 됩니다.Authority Key Identifier와 Subject Key Identifier가 일치하고 있는 경우, Authority Key Identifier가 없는 경우 Issuer 문자열이 Subject 문자열과 일치해야 합니다( ). RFC 5280).예를 들어 안전한 웹 브라우징 및 전자서명 방식을 위해 HTTPS를 지원하는[2] PKI는 루트 증명서 세트에 의존합니다.

인증 기관은 트리 구조의 형태로 여러 인증서를 발급할 수 있습니다.루트 증명서는 트리의 최상위 증명서이며, 다른 증명서에 "서명"하는 데 사용되는 개인 키입니다.루트 증명서에 의해 서명된 모든 증명서에 "CA" 필드가 true로 설정되어 있으면 루트 증명서의 신뢰성이 상속됩니다.루트 증명서에 의한 시그니처는 물리 세계에서의 아이덴티티 '공증'과 다소 유사합니다.이러한 증명서는 중간 증명서 또는 하위 CA 증명서라고 불립니다.트리 아래쪽에 있는 증명서도 중간자 신뢰도에 따라 달라집니다.

루트 증명서는 일반적으로 증명서 이외의 메커니즘(예를 들어 안전한 물리 배포)에 의해 신뢰됩니다.예를 들어 가장 잘 알려진 루트 인증서 중 일부는 제조업체에 의해 운영 체제에 배포됩니다.Microsoft 는, Microsoft 루트 증명서 프로그램의 멤버에 속하는 루트 증명서를 Windows 데스크탑 및 Windows Phone8 [2]배포합니다.Apple은 자체 루트 프로그램 구성원에 속하는 루트 인증서를 배포합니다.

루트 증명서 오용 사고

2011년 DigiNotar 해킹

주요 기사:디지노타

2011년 네덜란드 인증국 DigiNotar는 보안 침해에 시달렸습니다.이로 인해 이란 지메일 사용자를 노리는 데 악용된 각종 사기 인증서 발급이 이어졌다.DigiNotar 인증서의 신뢰는 철회되었고 회사의 운영 관리는 네덜란드 정부에 의해 인계되었습니다.

중국 인터넷 네트워크 정보 센터(CNIC) 위조 증명서 발급

DigiCert 루트 인증서 예시
주요 기사:중국 인터넷 네트워크 정보 센터

2009년 중국 인터넷 네트워크 정보 센터(CNIC) 직원이 모질라의 루트 증명서[3] 목록에 CNIC를 추가하도록 Mozilla에 신청하여 승인되었습니다.그 후, Microsoft 는 CNIC 를 Windows 의 루트 증명서 리스트에 추가했습니다.

2015년에는 CNIC가 발급한 중간 CA가 구글 도메인[4] 이름으로 가짜 인증서를 발급한 사실이 드러나 CNIC의 인증서 발급권 [5]남용 우려가 제기돼 많은 이용자들이 CNIC가 발급한 디지털 인증서를 신뢰하지 않기로 했다.

4월 2일 2015년에, 구글은 더 이상 전자 인증서 CNNIC에 의해 발행된 인정 발표했다.4월 4일[6][7][8], 구글에 이어, 모질라 또한은 더 이상 전자 인증서 CNNIC에 의해 발행된 인정 발표했다.[9][10]8월 2016년엔 CNNIC의 공식 웹 사이트wi를 루트 인증서 자체에 의해 발행된 것을 포기한 상태였다.DigiCert가 발급한 증명서에 의해 발급된 증명서.

WoSign 및 StartCom:위조 증명서 및 백데이트 증명서 발급

주요 기사:WoSignStartCom

2016년 치후360[11] 이스라엘 자회사인 스타트컴이 소유한 중국 최대 CA 인증서 발급사인 WoSign은 구글에 의해 인증서 인정을 거부당했다.

WoSign과 StartCom은 5일 만에 동일한 일련번호로 수백 개의 증명서를 발급했으며 역날짜 [12]증명서도 발급했다고 밝혔다.WoSign과 StartCom은 가짜 GitHub [13]증명서까지 발급했다.

마이크로소프트는 2017년에도 오프라인에서 [14]관련 인증서를 삭제하겠다고 밝혔지만 2021년 2월에도 여전히 WoSign과 StartCom의 인증서가 Windows 10에서 여전히 유효하며 [15]수동으로만 제거할 수 있다고 보고했습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "What Are CA Certificates?". Microsoft TechNet. 2003-03-28.
  2. ^ a b "Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)". Microsoft TechNet. October 2014.
  3. ^ "476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate". bugzilla.mozilla.org. Archived from the original on 2020-02-22. Retrieved 2020-01-03.
  4. ^ "CNNIC发行的中级CA发行了Google的假证书". solidot. 2015-03-24. Archived from the original on 2015-03-26. Retrieved 2015-03-24.
  5. ^ "最危险的互联网漏洞正在逼近". Archived from the original on 2015-11-21. Retrieved 2015-03-26.
  6. ^ "Google Bans China's Website Certificate Authority After Security Breach". No. April 2, 2015. Extra Crunch.
  7. ^ "谷歌不再承認中國CNNIC頒發的信任證書". 華爾街日報. 2015-04-03. Retrieved 2015-04-03.
  8. ^ "谷歌不再信任中国CNNIC 的网站信任证书". 美國之音. 2015-04-03. Retrieved 2015-04-03.
  9. ^ "Google and Mozilla decide to ban Chinese certificate authority CNNIC from Chrome and Firefox". VentureBeat. April 2, 2015.
  10. ^ "Mozilla紧随谷歌 拒绝承认中国安全证书". 美國之音. 2015-04-04. Retrieved 2015-04-04.
  11. ^ "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网". www.expreview.com. Retrieved 2020-01-03.
  12. ^ "CA:WoSign Issues - MozillaWiki". wiki.mozilla.org. Retrieved 2020-01-03.
  13. ^ Stephen Schrauger. "The story of how WoSign gave me an SSL certificate for GitHub.com". Schrauger.com.
  14. ^ Microsoft Defender Security Research Team (2017-08-08). "Microsoft to remove WoSign and StartCom certificates in Windows 10". Microsoft.
  15. ^ "Toxic Root-CA certificates of WoSign and StartCom are still active in Windows 10". Windows Phone Info.