'SSL인증서'에 해당되는 글 2건

  1. 2015.03.30 이메일 인증을 통한 SSL 인증서 발급 주의
  2. 2011.08.31 DigiNotar Root CA 잘못된 인증서 발급으로 인한 피해 주의
2015. 3. 30. 17:24

이메일 인증을 통한 SSL 인증서 발급 주의

개요
  • SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원
  • 인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1]

설명
  • SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공
  • 인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청

해결 방안
  • 이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한
- 일반 사용자에 대해 SSL 인증서 발급 기관이 허용한 특정 이메일 계정 생성을 제한하고 이미 일반 사용자에게 해당 계정이 생성되어 있을 경우 계정에 대한 비활성화를 권고
  ※ 인증서 발급기관마다 허용하고 있는 이메일 계정은 상이하나 주로 사용되는 계정은 admin, administrator, webmaster, hostmaster, postmaster,root, ssladmin, info, is, it, mis, ssladministrator, sslwebmaster 등이 있음
  ※ 인증서 발급을 위한 이메일 계정 정보 참고
*COMODO(Root CA)의 인증서 발급을 위한 메일 계정 : 참고사이트 [2]
*BUYhttp(SSL 리셀러)의 인증서 발급을 위한 메일 계정 : 참고사이트 [3]

용어 정리
  • SSL(Secure Socket Layer) 인증서 : HTTPS 등 암호화된 통신을 위해 인증기관이 발급해주는 디지털 인증서

기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.kb.cert.org/vuls/id/591120
[2]https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/alternative-methods-of-domain-control-validation-dcv
[3]http://account.buyhttp.com/knowledgebase/753/Which-email-address-can-approve-SSL-certificate-order.html





Trackback 0 Comment 0
2011. 8. 31. 20:43

DigiNotar Root CA 잘못된 인증서 발급으로 인한 피해 주의

□ 개요
   o 네덜란드 최상위 인증기관(Root CA)중 하나인 ‘DigiNotar’에서, google.com에 대한 잘못된
     SSL인증서가 발급됨
   o 공격자는 발급된 사기 “Google.com” 도메인 디지털 인증서를 이용하여, 스푸핑, 피싱 등에
     악용하고 있어 사용자 주의가 요구됨

□ 해당 시스템
   o 영향 받는 환경
     - 윈도우 XP, 2003 환경에서 동작하는 MS Internet Explorer 제품군
     - 파이어폭스 브라우저

   o 영향 받지 않는 환경
     ※ 자동으로 문제가 발생한 인증서(DigiNotar Root CA)가 제거됨
     - 윈도우 Vista, 7, Server2008, Server2008 R2 환경에서 동작하는 MS Internet Explorer제품군
     - 구글 크롬 브라우저

□ 임시 조치방안
   o 해당 문제로 인한 피해를 줄이기 위하여 다음과 같은 조치를 권장함
     - 윈도우 XP, 2003 환경에서 동작하는 MS Internet Explorer제품군
       * 메뉴 → 도구 → 인터넷 옵션 → 내용 → 인증서 → 신뢰된 루트 인증기관  →
          “DigiNotar Root CA"선택 → 제거


     - 파이어폭스 브라우저 [2]
       * 메뉴 → 도구 → 설정 → 고급 → 내용 → 인증서 보기 → 인증기관 → 
          “DigiNotar Root CA"선택 → 삭제 혹은 신뢰안함


□ 용어 정리
   o 스푸핑(Spoofing) : 해커가 악용하고자하는 DNS, IP, 이메일 등 주소를 바꾸어 이를통해
     공격하는 방식
   o 최상위 인증기관(Root CA, Root Certification Authority) : 인증 기관에 인증서를 발부할 수
     있는 최상위 인증 기관
   o SSL(Secure Sockets Layer) : 웹 브라우저와 웹서버 간에 데이터를 안전하게 주고받기 위한
     암호화 표준 프로토콜

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.microsoft.com/technet/security/advisory/2607712.mspx
[2] http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert


출처 : 인터넷침해대응센터

Trackback 0 Comment 0