SSL 인증서의 종류 (SSL Certificates)
보통 서버에서 SSL 환경을 구축할 때 인증 기관(CA)에서 발급한 SSL 인증서(SSL Certificate)를 사용한다.
대부분 유료이고, 무료로도 제공된다.
인증서를 발급 받을 때 올바른 목적에 맞게 발급을 받아야 혹시나 나중에 발생할 수 있는 추가 비용과 시간을 아낄 수 있다.
그럼 SSL 인증서의 종류와 특징을 알아보자.
사례
2 레벨 하위 도메인(*.sub1.example.com)에 HTTPS 통신을 할 수 있도록 환경을 구축하려고 했다.
단순한 생각에 Nginx와 같은 웹 서버에 기존 인증서를 추가해주면 되겠다고 생각했지만 동작하지 않았다.
확인해보니 발급 받아져 있는 인증서는 *.example.com로 발급받은 Wildcard SSL 인증서였다.
원하던 SSL 환경을 구축하기 위해서는 Multi-Domain 관련 인증서를 발급 받았어야 했다.
결국 위 조건의 환경을 구축하기 위해서는 새로 발급(비용 소모) 받아 새롭게 적용(시간 소모)하거나, 아니면 우회해서 1레벨 도메인에서 해결하는 방법을 택해야만 했다.
만약 미리 인증서의 종류에 대해서 알고 용도에 맞게 발급 받았더라면, 간단하게 도메인을 추가하는 것으로 원하던 SSL 환경을 구축할 수 있지 않았을까?
종류 및 특징
Single-name SSL Certificate
뜻 그대로 한 개의 도메인에 SSL을 적용한다.
원래는 지정된 도메인만 제공했지만, 지금은 SAN도 지원되어 제공된다.
2011년 인증기관의 정책이 바뀌어서 www 호스트에 한해 루트 도메인 둘다 인증이 되도록 변경 되었다.
www.example.com로 설정해야www.example.com과example.com둘다 인증된다.
example.com으로만 설정하면example.com과 SAN인www.example.com도 지원된다.example.com만 인증이 된다.
당연히 하위 도메인인xxx.example.com에는 적용되지 않는다.Wildcard SSL Certificate
*가 지정된 레벨에 대한 도메인에 SSL을 적용한다.
Wildcard도 Single-name 인증서와 같이 www 호스트에 대해서 루트 도메인을 지원한다.
*.example.com으로 설정 되었다고 가정하면,
example.com,www.example.com,sub.example.com,sub2.example.com등 1단계 레벨 서브 도메인이 지원된다. 그외 서브 레벨인sub2.sub1.example.com에는 적용되지 않는다.Multi-Domain SSL Certificate
SAN 인증서 또는 UCC (Unified Communications Certificate) 인증서 라고도 말한다.
1개 인증서로 여러개의 도메인에 SSL 을 적용하고자 할 때 사용된다. (최대 2000개까지 도메인을 등록 가능)주의사항: Single-name 인증서는 위에서
www.example.com을 등록하면example.com도 제공됬었다. 하지만 Multi-Domain 인증서는 FQDN(Fully Qualified Domain Name)가 적용되어 각각 다른 도메인으로 인식하기 때문에 개별적으로 등록 해주어야 한다.Multi-Domain Wildcard SSL Certificate
Multi-Domain과 Wildcard의 특징을 그대로 가져왔다고 생각하면 쉽다.
1개의 인증서로 여러개의 Wildcard 형태로 등록해서 SSL을 적용할 수 있다.
가장 넓은 영역의 인증서라고 볼 수 있을 것 같다.
*.example.com과*.sub.example.com으로 설정 했다고 가정해보자.- 모든 1레벨 서브 도메인이 지원된다.
www.example.com도 포함이다.example.com는? 안된다.- 위에서 설명했듯이 FQDN이 적용되기 때문이다.
- 1레벨이 sub인 2레벨 모든 도메인이 지원된다.
san.sub.example.com,san1.sub.example.com등
- 모든 1레벨 서브 도메인이 지원된다.
EV (Extended Validation) SSL Certificate
사용자들이 한 눈에 신뢰를 가질 수 있도록 브라우저의 주소창 전체가 녹색으로 표시된다.
EV 인증서를 발급 받기 위해서는 까다로운 인증절차 및 신원보증 등이 확인 되어야만 구축이 되기 때문에 신뢰할 수 있는 사이트라는 것을 말해주도록 만든 인증서이다.
우리 나라에서는 Naver나 Daum이 사용했다고 글을 본 것 같은데... (지금은 확인해보니 Wildcard 인증서다.)
브라우저에서 아래와 같이 녹색으로 표시되면 EV 인증서를 사용하는 것이다.
정리하면서 어려웠던 점
SAN 개념을 이해하는게 너무 어려웠고, 느낌만 있지.. 정확하게 이해하지 못한 것 같다.
좋은 링크나 혹시나 잘 아시는 분이 계시다면 공유해주시면 좋을 것 같다.😀
References
- SAN(주체 대체 이름) 확인: https://zetawiki.com/wiki/SSL%EC%9D%B8%EC%A6%9D%EC%84%9C_%EC%A3%BC%EC%B2%B4%EB%8C%80%EC%B2%B4%EC%9D%B4%EB%A6%84_%ED%99%95%EC%9D%B8
- 멀티 도메인 Multi-Domain / SAN SSL 인증서란? : https://www.securesign.kr/guides/kb/29
- FQDN과 PQDN: http://borisoop.tistory.com/398
- What is a SAN Certificate? : https://www.ssl.com/faqs/what-is-a-san-certificate/
글에 포함할 내용은 아니지만 우리나라 최상위 인증기관에서 발생한 이슈.
읽어보면서 우리가 보안에 많은 신경을 써야한다는 점을 느낄 수 있었다.
"행정전자서명, 시도교육청의 무분별한 발급으로 보안성 훼손"
이 문제를 발견한 분의 트윗: 링크
Congratulations @pronomad! You have completed some achievement on Steemit and have been rewarded with new badge(s) :
Click on any badge to view your own Board of Honor on SteemitBoard.
For more information about SteemitBoard, click here
If you no longer want to receive notifications, reply to this comment with the word
STOPCongratulations @pronomad! You have received a personal award!
Click on the badge to view your Board of Honor.
Do not miss the last post from @steemitboard:
Congratulations @pronomad! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!