본문 바로가기

디지털인증서2

이메일 인증을 통한 SSL 인증서 발급 주의 개요SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1] 설명SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청 해결 방안이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한- 일반 사용자에 대해.. 2015. 3. 30.
인증되지 않은 디지털 인증서 악용으로 인한 피해 주의 개요마이크로소프트(이하 MS) 인증 기관(Microsoft Certificate Authority)으로부터 인증되지 않은 디지털 인증서를 사용한 악용 사례가 발생함 공격자는 공인되지 않은 디지털 인증서를 이용하여, MS社에서 제작된 파일처럼 위장하거나, 피싱, M.I.T.M(Man-In-The-Middle)공격 등에 악용할 수 있어 사용자 주의가 요구됨 해당 시스템영향 받는 환경 - PC 및 모바일 기기에서 동작하는 MS社의 모든 Windows 운영체제 해결방안해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용하여 다음과 같은 3종의 인증서를 비신뢰 상태로 전환 - Microsoft Enforced Licensing Intermediate PCA 2종 - Microsoft Enforced Licens.. 2012. 6. 5.
728x90