'Secure Socket Layer'에 해당되는 글 2건

  1. 2015.03.30 이메일 인증을 통한 SSL 인증서 발급 주의
  2. 2014.10.22 SSL 3.0 프로토콜 취약점 주의
2015.03.30 17:24

이메일 인증을 통한 SSL 인증서 발급 주의

개요
  • SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원
  • 인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1]

설명
  • SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공
  • 인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청

해결 방안
  • 이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한
- 일반 사용자에 대해 SSL 인증서 발급 기관이 허용한 특정 이메일 계정 생성을 제한하고 이미 일반 사용자에게 해당 계정이 생성되어 있을 경우 계정에 대한 비활성화를 권고
  ※ 인증서 발급기관마다 허용하고 있는 이메일 계정은 상이하나 주로 사용되는 계정은 admin, administrator, webmaster, hostmaster, postmaster,root, ssladmin, info, is, it, mis, ssladministrator, sslwebmaster 등이 있음
  ※ 인증서 발급을 위한 이메일 계정 정보 참고
*COMODO(Root CA)의 인증서 발급을 위한 메일 계정 : 참고사이트 [2]
*BUYhttp(SSL 리셀러)의 인증서 발급을 위한 메일 계정 : 참고사이트 [3]

용어 정리
  • SSL(Secure Socket Layer) 인증서 : HTTPS 등 암호화된 통신을 위해 인증기관이 발급해주는 디지털 인증서

기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.kb.cert.org/vuls/id/591120
[2]https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/alternative-methods-of-domain-control-validation-dcv
[3]http://account.buyhttp.com/knowledgebase/753/Which-email-address-can-approve-SSL-certificate-order.html





Trackback 0 Comment 0
2014.10.22 18:51

SSL 3.0 프로토콜 취약점 주의


개요

  • SSL 3.0의 CBC 모드를 사용할 경우 중간자 공격(MITM)을 통해 암호화된 데이터를 복호화할 수 있는 취약점(CVE-2014-3566)이 발견됨 [1,2]
  • SSL 3.0은 1996년도에 공개된 버전으로 일부에서 하위 호환성을 위해 제공하고 있으나 보안이 취약하여 사용하지 않는 것을 권고 [1,2]


해당 시스템

  • 영향 받는 제품 및 버전
    • SSL 3.0 프로토콜을 사용하는 어플리케이션 및 시스템


해결 방안

  • 해당 취약점에 영향 받는 버전 사용자
    • SSL 3.0을 사용하는 어플리케이션 및 시스템의 설정에서 SSL 3.0 지원 비활성화
    • SSL 3.0을 지원해야하는 환경의 경우 TLS_FALLBACK_SCSV 프로토콜 확장기능을 사용하여 공격 예방(POODLE 공격)


용어 설명

  • SSL(Secure Socket Layer) : 네트워크 데이터를 암호화하기 위해 사용하는 프로토콜들의 집합
  • CBC(Cipher Block Chaining) : 블록 암호화 알고리즘을 사용하여 가변 길이의 데이터를 암호화하는 방식
  • POODLE(Padding Oracle On Downgraded Legacy Encryption) : SSL 3.0의 CBC 모드를 공격하는 방법


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] https://www.openssl.org/~bodo/ssl-poodle.pdf
[2] https://www.us-cert.gov/ncas/alerts/TA14-290A


Trackback 0 Comment 0