SSL에서 인트라넷 이름과 IP 주소의 단계적 폐지
인트라넷 보안 공동체는 SSL 인증서에서 인트라넷 이름과 IP 주소를 주도메인 이름이나 주체대체이름(Subject Alternative Names: SAN)으로 사용하는 것을 단계적으로 폐지하고 있습니다. 이것은 업계 전체의 결정이며, 당사만의 결정이 아닙니다.
2012년 7월 1일 기준으로, 인트라넷 이름 또는 IP 주소를 포함하고 2015년 11월 1일 이후에도 유효한 SSL 인증서에 대한 새로운 요청, 키 교체 또는 갱신을 더 이상 받지 않습니다. 그에 더해, 공개 IP 주소 또는 IPv6 주소를 보호하는 SSL 인증서를 지원하지 않습니다.
인트라넷 이름은 server1, mail 또는 server2.local 등과 같이, 공개 도메인 네임 서버(DNS)가 접속할 수 없는 사설 네트워크의 이름입니다. IP 주소는 123.45.67.890과 같이 컴퓨터의 위치를 정의하는 숫자열입니다.
왜 변경합니까?
더 안전한 온라인 환경을 생성하기 위해, 인증 기관 브라우저 포럼(Certificate Authorities Browser Forum)의 회원들이 SSL 인증서에 대한 실행 지침을 정의하기 위해 모였습니다. 그 결과로 2016년 10월 1일부터 인증기관(CA)들은 인트라넷 이름이나 IP 주소를 사용하는 SSL 인증서를 취소해야 합니다.
간단히 말해서, 이 변경은 보안을 향상시킵니다. 내부 서버 이름은 고유하지 않기 때문에, 중간자(Man-in-the-middle: MITM) 공격에 취약합니다. 중간자(MITM) 공격에서, 공격자는 실제 인증서의 사본이나 복제 인증서를 사용하여 메시지를 가로채고 재전송합니다. 인증기관(CA)들은 동일한 내부 이름에 대해 복수의 인증서를 발급하기 때문에, 공격자는 복제 인증서를 위한 유효한 요청서를 만들 수 있고 중간자를 위해 그것을 사용할 수 있습니다.
인증기관(CA)/브라우저 포럼(Browser Forum) 지침들을 읽으려면, 여기를 클릭하십시오.
어떤 조치를 취해야 합니까?
인트라넷 이름이나 IP 주소를 포함하고 있는 기존 인증서를 가지고 있는 경우, 인증서의 만료 시점이나 2016년 10월 1일 중에서 먼저 도래하는 시점까지 그 인증서를 계속 사용할 수 있습니다. 지금 시점에서는, 이 인증서들을 1년 동안만 갱신할 수 있습니다.
향후에는, 인트라넷 이름을 보호하려면 대체 솔루션을 구해야 합니다. 다른 말로 하면, IP 주소와 인트라넷 이름을 보호하는 대신에 www.coolexample.com과 같은 정규화된 도메인 이름(Fully Qualified Domain Name, FQDN)을 사용하기 위해 서버를 재구성해야 합니다.
예를 들면, 자신만의 인증서 서명 요청(Certificate Signing Request, CSR)을 생성하고 그것을 사용하여 SSL 인증서에 서명할 수 있습니다. Microsoft® Exchange Server를 사용하는 경우, 그 내부 AutoDiscover를 재구성하여 정규화된 도메인 이름(FQDN)을 사용할 수 있습니다. 사용 설명에 대해서는 Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name를 참고하십시오.
