본문 바로가기
cs

[네트워크] SSL 인증서란? 정의 및 설명

by 최연탄 2022. 12. 14.
728x90
반응형

참고: https://www.kaspersky.com/resource-center/definitions/what-is-a-ssl-certificate

SSL 인증서란?

SSL 인증서는 웹사이트의 ID를 인증하고 암호화된 연결을 가능하게 하는 디지털 인증서입니다. SSL은 웹 서버와 웹 브라우저 사이에 암호화된 링크를 생성하게 해주는 보안 프로토콜인 Secure Sockets Layer를 나타냅니다.

기업이나 조직은 온라인 거래를 보호하고 고객 정보를 안전하게 비공개로 유지하기 위해서 웹 사이트에 SSL 인증서를 추가해야 합니다.

요약하면, SSL은 인터넷 연결을 안전하게 유지하도록 하고 범죄자가 두 시스템 간에 전송되는 정보를 읽거나 수정하지 못하게 합니다. 브라우저의 주소 표시줄 URL 옆에 자물쇠 아이콘이 표시되면 SSL이 방문 중인 웹사이트를 보호하고있다는 의미입니다.

약 25년 전에 이 프로토콜이 개발된 이후 여러 버전의 SSL 프로토콜이 있었는데 모두 어느 시점에서 보안 문제에 부딪혔습니다. 이에서 개량되고 이름이 바뀐 버전인 TLS(Transport Layer Security)가 오늘날에 계속 사용되고 있습니다. 그러나 이니셜 SSL이 이미 고착되어 있어서 새 버전의 프로토콜 TLS도 여전히 이전 이름 SSL로 불리우고 있습니다.

SSL 인증서 작동 방법

SSL은 사용자와 웹 사이트 간 또는 두 시스템 간에 전송되는 모든 데이터를 읽을 수 없게하는 방식으로 작동합니다. 암호화 알고리즘을 사용하여 전송 중인 데이터를 스크램블하므로 해커가 전송되는 데이터를 읽을 수 없게 합니다. 이 데이터에는 이름, 주소, 신용 카드 번호 또는 기타 재무 세부 정보와 같은 잠재적으로 민감한 정보가 포함될 수 있습니다.

프로세스는 다음과 같습니다:

  1. 브라우저 또는 서버는 SSL로 보호된 웹 사이트(즉, 웹 서버)에 연결하려고 시도합니다.
  2. 브라우저 또는 서버는 웹 서버가 자신을 식별하도록 요청합니다.
  3. 웹 서버는 응답으로 브라우저 또는 서버에 SSL 인증서 사본을 보냅니다.
  4. 브라우저 또는 서버는 SSL 인증서를 신뢰하는지 확인합니다. 그러면 웹 서버에 신호를 보냅니다.
  5. 그런 다음 웹 서버는 디지털 서명된 확인 응답을 반환하여 SSL 암호화 세션을 시작합니다.
  6. 암호화된 데이터는 브라우저 또는 서버와 웹 서버 간에 공유됩니다.

이 프로세스를 "SSL 핸드셰이크"라고 부르기도 합니다. 기나긴 과정처럼 보이지만, 이는 몇 밀리초 안에 일어납니다.

웹 사이트가 SSL 인증서로 보안이 되면 HTTPS(HyperText Transfer Protocol Secure의 약자)가 URL에 나타납니다. SSL 인증서가 없으면 HTTP(S 없이) 문자만 나타납니다. SSL 인증이 되면 URL 주소 표시줄에 자물쇠 아이콘이 표시됩니다. 이러한 표시는 신뢰를 나타내고 웹 사이트를 방문하는 사람들을 보안적으로 안심시킵니다.

SSL 인증서의 세부 정보를 보려면 브라우저 표시줄에 있는 자물쇠 아이콘을 누르면 됩니다. 일반적으로 SSL 인증서에 포함되는 세부 정보는 다음과 같습니다:

  • 인증서가 발급된 도메인 이름
  • 어떤 사람, 조직 또는 장치가 발급되었는지
  • 인증 기관에서 발급한 인증서
  • 인증 기관의 디지털 서명
  • 연결된 하위 도메인
  • 인증서 발급 날짜
  • 인증서의 만료 날짜
  • 공용 키(개인 키는 표시되지 않음)

SSL 인증서가 필요한 이유

웹사이트는 사용자 데이터를 안전하게 유지하고, 웹사이트 소유권을 확인하고, 공격자가 사이트의 가짜 버전을 만들지 못하도록 방지하고, 사용자에게 신뢰를 전달하기 위해 SSL 인증서를 필요로합니다.

웹사이트가 사용자들에게 로그인을 요구하고, 신용카드 번호와 같은 개인 정보를 입력하거나, 건강 혜택이나 금융 정보와 같은 기밀 정보를 볼 것을 요구하고 있다면, 데이터를 기밀로 유지하는 것이 필수입니다. SSL 인증서는 온라인 상호 작용을 비공개로 유지하고 웹 사이트가 신뢰할 수 있고 개인 정보를 공유할 수 있는 안전한 웹 사이트임을 사용자에게 보장합니다.

비즈니스에 더 관련이 있는 점은 HTTPS 라는 이름의 웹 주소에 SSL 인증서가 필요하다는 사실입니다. HTTPS는 HTTP의 보안 형식으로, HTTPS 웹 사이트는 SSL에 의해 트래픽을 암호화합니다. 대부분의 브라우저는 SSL 인증서가 없는 HTTP 사이트를 "보안되지 않음"으로 태그합니다. 이는 사용자에게 사이트가 신뢰할 수 없다는 명확한 신호를 보내며, 그렇지 않은 기업은 HTTPS로 업그래이드 하도록 유도합니다.

SSL 인증서는 다음과 같은 정보를 보호하는 데 도움이 됩니다:

  • 로그인 자격 증명
  • 신용카드 거래 또는 은행 계좌 정보
  • 풀네임, 주소, 생년월일 또는 전화 번호와 같은 개인 식별 가능 정보
  • 법률 문서 및 계약서
  • 의료 기록
  • 독점 정보
반응형

SSL 인증서 유형

유효성 검사 레벨이 다른 다양한 유형의 SSL 인증서가 있습니다. 6가지 주요 유형은 다음과 같습니다:

  1. Extended Validation certificates (EV SSL)
  2. Organization Validated certificates (OV SSL)
  3. Domain Validated certificates (DV SSL)
  4. Wildcard SSL certificates
  5. Multi-Domain SSL certificates (MDC)
  6. Unified Communications Certificates (UCC)

- Extended Validation certificates (EV SSL)

이것은 가장 높은 순위의 가장 비싼 SSL 인증서 유형입니다. 이는 데이터를 수집하고 온라인 결제를 포함하는 유명 웹사이트에 사용되곤 합니다. 이 SSL 인증서를 설치하면 자물쇠, HTTPS, 업체 이름 및 국가가 브라우저 주소 표시줄에 표시됩니다. 웹 사이트 소유자의 정보를 주소 표시줄에 표시하면 해당 사이트를 악의적인 사이트와 구분하는 데 도움이 됩니다. EV SSL 인증서를 설정하려면 웹 사이트 소유자가 표준화된 신원 확인 프로세스를 통해 도메인에 대한 독점적 권한을 합법적으로 승인했는지 확인해야 합니다.

- Organization Validated certificates (OV SSL)

이 버전의 SSL 인증서는 EV SSL 인증서와 비슷한 레벨의 보증을 가지고 있습니다. 웹사이트 소유자는 상당한 유효성 검사 프로세스를 완료해야 합니다. 또한 이 인증서 유형은 악의적인 사이트와 구별하기 위해 웹 사이트 소유자의 정보를 주소 표시줄에 표시합니다. OV SSL 인증서는 EV SSL에 이어 두 번째로 비싼 경향이 있으며 주요 목적은 트랜잭션 중에 사용자의 민감한 정보를 암호화하는 것입니다. 상업 또는 공개 웹사이트는 공유된 모든 고객 정보가 기밀로 유지되도록 OV SSL 인증서를 설치해야 합니다.

- Domain Validated certificates (DV SSL)

이 SSL 인증서 유형의 유효성 검사 프로세스는 최소한이므로 도메인 유효성 검사 SSL 인증서는 낮은 보증과 최소한의 암호화를 제공합니다. 이는 블로그나 정보 제공 웹사이트에 사용되는 경향이 있습니다. 즉, 데이터 수집이나 온라인 결제가 포함되지 않습니다. 이 SSL 인증서 유형은 가장 저렴하고 가장 빨리 얻을 수 있는 유형 중 하나입니다. 유효성 검사 프로세스에서는 웹 사이트 소유자가 이메일 또는 전화에 응답하여 도메인 소유권을 증명하기만 하면 됩니다. 브라우저 주소 표시줄에는 HTTPS만 표시되고 업체 이름은 표시되지 않으며 자물쇠만 표시됩니다.

- Wildcard SSL certificates

와일드카드 SSL 인증서를 사용하면 단일 인증서를 가지고 기본 도메인 및 무제한의 하위 도메인을 보호할 수 있습니다. 보안해야 할 여러 하위 도메인이 있는 경우 와일드카드 SSL 인증서는 각 도메인에 대해 개별 SSL 인증서를 구입하는 것보다 비용이 적게 듭니다. 와일드카드 SSL 인증서에는 공통 이름의 일부로 별표 *를 포함합니다. 여기서 별표는 기본 도메인이 동일한 모든 유효한 하위 도메인을 나타냅니다. 예를 들어 *website에 대한 단일 와일드카드 인증서를 사용하여 다음을 보호할 수 있습니다:

  • payments.yourdomain.com
  • login.yourdomain.com
  • mail.yourdomain.com
  • download.yourdomain.com
  • anything.yourdomain.com

- Multi-Domain SSL Certificate (MDC)

다중 도메인 인증서는 많은 도메인 또는 하위 도메인 이름을 보호하는 데 사용할 수 있습니다. 여기에는 로컬/내부 도메인을 제외하고 서로 다른 TLD(Top-Level Domains)가 있는 완전히 고유한 도메인 및 하위 도메인의 조합이 포함됩니다.

예를 들어:

  • www.example.com
  • example.org
  • mail.this-domain.net
  • example.anything.com.au
  • checkout.example.com
  • secure.example.org

다중 도메인 인증서는 기본적으로 하위 도메인을 지원하지 않습니다. 하나의 다중 도메인 인증서로 www.example.com과 example.com을 모두 보호해야 하는 경우 인증서를 얻을 때 두 호스트 이름을 모두 지정해야 합니다.

- Unified Communications Certificate (UCC)

Unified Communications Certificates (UCC)도 다중 도메인 SSL 인증서로 간주됩니다. UCC는 처음에 마이크로소프트 Exchange 및 라이브 커뮤니케이션 서버를 보호하기 위해 설계되었습니다. 오늘날 모든 웹 사이트 소유자는 이러한 인증서를 사용하여 단일 인증서에서 여러 도메인 이름을 보호할 수 있습니다. UCC 인증서는 조직적으로 검증되며 브라우저에 자물쇠가 표시됩니다. UCC는 EV SSL 인증서로 사용되어 웹 사이트 방문자에게 녹색 주소 표시줄을 보여주고 최상의 확신을 줄 수 있습니다.

웹 사이트에 적합한 유형의 인증서를 얻으려면 다양한 유형의 SSL 인증서에 대해 잘 알고 있어야 합니다.

SSL 인증서를 얻는 방법

SSL 인증서는 Certificate Authority (CA)에서 직접 가져올 수 있습니다. 인증 기관은 매년 수백만 개의 SSL 인증서를 발급합니다. 이들은 온라인에서 발생하는 투명하고 신뢰할수 있는 상호작용에 중요한 역할을 합니다.

SSL 인증서의 비용은 필요한 보안 수준에 따라 무료에서 수백 달러까지 다양합니다. 필요한 인증서 유형을 결정한 후에는 필요한 수준의 SSL을 제공하는 인증서 발급자를 찾을 수 있습니다.

SSL을 얻으려면 다음 단계를 수행해야 합니다:

  • 서버를 설정하고 WHOIS 기록이 업데이트되면 Certificate Authority(올바른 회사 이름과 주소 등을 표시해야 합니다.)에 제출하는 내용이 일치하는지 확인합니다.
  • 서버에서 Certificate Signing Request(CSR)을 생성합니다. 이는 호스팅 회사가 지원해줄 수 있습니다.
  • 유효성을 확인하기 위해 도메인 및 회사 세부 정보를 인증 기관에 제출합니다.
  • 프로세스가 완료되면 제공된 인증서를 설치합니다.

인증서를 취득한 후 웹 호스트 또는 웹 사이트를 직접 호스팅하는 경우 자체 서버에서 인증서를 구성해야 합니다.

인증서를 받는 속도는 받은 인증서 유형과 인증서를 조달한 인증서 공급자에 따라 다릅니다. 각 유효성 검사 레벨은 완료시간이 서로 다릅니다. 간단한 Domain Validation SSL 증명서는 주문 후 몇 분 안에 발급되지만, Extended Validation은 일주일이 걸릴 수도 있습니다.

여러 서버에서 단일 SSL 인증서 사용이 가능한가?

동일한 서버의 여러 도메인에 대해 하나의 SSL 인증서를 사용할 수 있습니다. 공급업체에 따라 여러 서버에서 하나의 SSL 인증서를 사용할 수도 있습니다. 이는 위에서 언급한 Multi-Domain SSL 인증서 때문입니다.

이름에서 알 수 있듯이 다중 도메인 SSL 인증서는 여러 도메인에서 작동합니다. 여기서 가능한 도메인의 갯수는 특정 발급 인증 기관이 정합니다. Multi-Domain SSL 인증서는 단일 도메인을 보호하도록 설계된 Single Domain SSL 인증서와는 다릅니다.

조금 혼란스러울지 모르겠지만 Multi-Domain SSL 인증서를 SAN 인증서라고 하는 것을 들어봤을 것입니다. SAN은 Subject Alternative Name의 약자로 모든 다중 도메인 인증서에는 추가 필드(예: SAN)가 있으며, 이 필드를 사용하여 하나의 인증서 아래에 포함할 추가 도메인을 나열할 수 있습니다.

또한 Unified Communications Certificates (UCCs) 및 Wildcard SSL 인증서는 다중 도메인을 허용하며, 후자의 경우 하위 도메인의 수를 제한하지 않습니다.

SSL 인증서가 만료되면 어떻게 될까?

SSL 인증서는 만료됩니다. 영구적으로 유지되지 않습니다. SSL 산업의 실질적인 규제 기관 역할을 하는 Certificate Authority Browser 포럼은 SSL 인증서의 수명이 27개월을 넘지 않아야 한다고 명시하고 있습니다. 이는 기본적으로 2년의 만료 기간을 주고 만료될 SSL 인증서의 갱신기간 3개월을 추가한 시간입니다.

SSL 인증서는 모든 인증 형식과 마찬가지로 정보가 여전히 정확한지 확인하기 위해 주기적으로 재검증해야해서 만료됩니다. 회사와 웹 사이트는 사고 팔리기 때문에 문제가 생깁니다. 소유자가 바뀌면 SSL 인증서와 관련된 정보도 변경되어야하기 때문입니다. 만료 기간의 목적은 서버 및 조직을 인증하는 데 사용되는 정보가 가능한 한 최신 상태이고 정확한지 확인하는 것입니다.

이전에는 SSL 인증서를 최대 5년까지 발급할 수 있었지만 이후 3년으로 줄었고 가장 최근에는 2년으로 줄었고 3개월 더 발급할 수 있게 바뀌었습니다. 하지만 2020년, 구글, 애플, 모질라는 Certificate Authority Browser Forum의 제안에도 불구하고 1년짜리 SSL 인증서를 시행할 것이라고 발표했습니다. 이는 2020년 9월부터 시행되었고 앞으로 유효기간이 더 줄어들 가능성이 있습니다.

SSL 인증서가 만료되면 해당 사이트에 연결할 수 없게 됩니다. 사용자의 브라우저가 웹 사이트에 도착하면 SSL 핸드셰이크의 일부로 몇 밀리초 내에 SSL 인증서의 유효성을 확인합니다. SSL 인증서가 만료된 경우, 방문자는 "이 사이트는 보안되지 않습니다. 잠재적인 위험이 발생할 수 있습니다." 메시지를 받습니다.

사용자는 계속 진행할 수 있는 옵션이 있지만, 멀웨어를 포함하여 관련된 사이버 보안 위험을 고려할 때 그렇게 하는 것은 권장되지 않습니다. 이는 사용자가 빠르게 홈페이지를 클릭하고 다른 곳으로 이동하기 때문에 웹사이트 소유자의 이탈률에 상당한 영향을 미칩니다.

대기업에서 SSL 인증서가 만료되는 시기를 파악하는 것은 조금 어려운 일입니다. 중소기업(SME)은 관리할 인증서가 하나 또는 몇 개뿐일 수 있지만, 수많은 웹사이트와 네트워크를 통해 잠재적 시장에서 거래하는 엔터프라이즈급 조직은 더 많은 인증서를 갖게 됩니다. 이 레벨에서 SSL 인증서 만료를 허용하는 것은 일반적으로 무능력이 아닌 실수로 지나친 결과입니다. 대기업이 SSL 인증서가 만료되기전 이를 유지하는 가장 좋은 방법은 인증서 관리 플랫폼을 사용하는 것입니다. 온라인에 찾아보면 다양한 제품들이 시중에 나와 있습니다. 이를 통해 기업은 전체 인프라에서 디지털 인증서를 보고 관리할 수 있습니다. 이러한 플랫폼 중 하나를 사용하는 경우 정기적으로 로그인하여 갱신 기한을 알 수 있도록 하는 것이 중요합니다.

인증서가 만료되도록 놔두면 인증서가 유효하지 않게 되고 웹 사이트에서 더 이상 보안 트랜잭션을 실행할 수 없게 됩니다. 만료 날짜 전에 SSL 인증서를 갱신하라는 메시지가 Certification Authority (CA)에 표시됩니다.

SSL 인증서를 얻기 위해 사용하는 인증 기관 또는 SSL 서비스는 일반적으로 90일부터 시작하여 설정된 간격으로 만료 알림을 보냅니다. 이러한 미리 알림이 전송될 때 담당직원이 회사를 떠나거나 다른 역할로 이동하는 경우가 있으니 메시지를 개인이 아닌 전자 메일 그룹으로 전송되도록 하는 것을 권장합니다. 올바른 사람이 적시에 미리 알림을 볼 수 있도록 회사의 어떤 이해 관계자가 이 배포 목록에 있는지 생각해 보아야합니다.

사이트에 SSL 인증서가 있는지 확인하는 방법

사이트에 SSL 인증서가 있는지 확인하는 가장 쉬운 방법은 브라우저의 주소 표시줄을 확인하는 것입니다:

  • URL이 HTTP 대신 HTTPS로 시작하면 사이트가 SSL 인증서를 사용하여 보호된다는 의미입니다.
  • 보안 사이트에는 닫힌 자물쇠 엠블럼이 표시되며 클릭하여 보안 세부 정보를 볼 수 있습니다. 가장 신뢰할 수 있는 사이트에는 자물쇠 또는 주소 표시줄이 녹색으로 보입니다.
  • 또한 브라우저에서는 연결이 안전하지 않을 때 빨간색 자물쇠, 닫히지 않은 자물쇠, 웹 사이트 주소에 취소선 또는 자물쇠 엠블럼 위에 있는 경고 삼각형과 같은 경고 신호를 표시합니다.

온라인 세션이 안전한지 확인하는 방법

EV 또는 OV 인증서가 있는 웹 사이트에만 개인 데이터 및 온라인 결제 정보를 제출하기 바랍니다. DV 인증서는 eCommerce 웹 사이트에 적합하지 않습니다. 주소 표시줄을 보면 사이트에 EV 또는 OV 인증서가 있는지 알 수 있습니다. EV SSL의 경우 조직의 이름이 주소 표시줄 자체에 표시됩니다. OV SSL의 경우 자물쇠 아이콘을 눌러 조직 이름의 세부사항을 볼 수 있습니다. DV SSL의 경우 자물쇠 아이콘만 표시됩니다.

웹 사이트의 개인 정보 보호 정책을 읽습니다. 이를 통해 데이터가 어떻게 사용되는지 확인할 수 있습니다. 합법적인 기업은 데이터를 수집하는 방법과 데이터로 무엇을 하는지 투명하게 파악할 수 있습니다.

웹 사이트의 신뢰 신호나 표시기를 확인합니다. SSL 인증서뿐만 아니라 웹 사이트가 특정 보안 표준을 충족한다는 것을 보여주는 평판이 좋은 로고 또는 배지도 포함됩니다. 사이트의 실제 여부를 판단하는 데 도움이 되는 다른 징후로는 실제 주소와 전화 번호 확인, 반품 또는 환불 정책 확인, 가격이 믿을 만하고 너무 좋지 않은지 확인하는 것 등이 있습니다.

피싱 사기에 대한 경각심을 유지합니다. 때때로 사이버 공격자는 기존 웹 사이트를 모방한 웹 사이트를 만들어 사람들이 무언가를 구매하도록 속이거나 피싱 사이트에 로그인하도록 합니다. 피싱 사이트가 SSL 인증서를 획득하여 사용자와 사용자 간에 흐르는 모든 트래픽을 암호화할 수 있습니다. HTTPS 사이트에서 발생하는 피싱 사기의 비율이 점점 증가하여 자물쇠 아이콘의 존재에 안심하는 사용자를 속이고있습니다.

이런 종류의 공격을 방지하려면:

  • 항상 현재 사이트의 도메인을 검사하고 철자가 올바른지 확인하십시오. 가짜 사이트의 URL은 amazon.com 대신 amaz0n.com과 같은 한 문자만 다를 수 있습니다. 의심스러운 경우 브라우저에 직접 도메인을 입력하여 방문하려는 웹 사이트에 연결하고 있는지 확인합니다.
  • 진위가 확실하지 않은 한 사이트에 로그인, 암호, 은행 자격 증명 또는 기타 개인 정보를 입력하지 마십시오.
  • 특정 사이트가 제공하는 내용, 의심스러워 보이는지, 실제로 등록해야 하는지 항상 고려하십시오.

사이버 보안 위험은 계속 진화하고 있습니다. SSL 인증서 유형을 이해하고 안전한 사이트와 잠재적으로 위험한 사이트를 구별하는 방법을 이해하면 인터넷 사기를 피하고 사이버 범죄자로부터 개인 데이터를 보호하는 데 도움이 될 것 입니다.

관련 글

HTTP - HyperText Transfer Protocol

패킷 Packet

반응형
저작자표시 비영리 변경금지

'cs' 카테고리의 다른 글

[네트워크] DNS 설명 및 작동방법  (7) 2023.02.14
[네트워크] HTTPS 설명 및 작동방법  (4) 2023.02.01
[네트워크] HTTP - HyperText Transfer Protocol  (0) 2022.12.01
[네트워크] CORS, 해결 방법  (2) 2022.11.01
[네트워크] 프록시 Proxy  (1) 2022.10.06

관련글

댓글

티스토리툴바