디지털 인증서 폐지 상태를 실시간으로 확인하기 위한 인터넷 프로토콜인 OSCP(Online Certificate Status Protocol)에 대해서 알아봅니다.
[ Contents ]
1. 디지털 인증서 (Digital Certificate)
공개키의 소유자가 누구인지를 신뢰할 수 있는 제3자(CA)가 보증하는 전자 문서
공개키 암호방식에서 공격자가 자신의 공개키를 상대방인 것처럼 속이면 중간자 공격(MITM)이 가능해집니다. 이를 막기위해 디지털 인증서는 "이 공개키는 해당 소유자의 것이 맞습니다"라는 보증을 해줍니다.
즉, 신뢰할 수 있는 인증기관(CA)이 공개키와 소유자 정보를 묶어 서명한 것이 디지털 인증서입니다.
2023.05.15 - [CS/보안] - [보안] 대칭키 방식과 비대칭키(공개키) 방식: 개념과 장단점, 차이점
[보안] 대칭키 방식과 비대칭키(공개키) 방식: 개념과 장단점, 차이점
암호통신에서는 암호화하여 데이터를 전송합니다. 마치 자물쇠와 같이, 데이터를 암호화하고 복호화할 때에도 '키(열쇠)'를 사용합니다. 이러한 키에는 크게 '대칭키' 방식과 '비대칭키(공개키)'
star7sss.tistory.com
2. OCSP(Online Certificate Status Protocol)
디지털 인증서의 폐지(revocation) 상태를 실시간으로 확인하기 위한 인터넷 프로토콜
발급된 인증서는 영구적으로 유효한 건 아니며, 유효기간 만료 전에 폐지하는 경우도 있습니다. (인증서 대체, 변경 등)
그러므로 유효한 인증서인지 확인하는 과정이 필요합니다. OCSP는 실시간으로 인증서 폐지 여부를 확인하며, 개별 인증서 단위로 인증하기 때문에 응답속도가 빠릅니다.
3. OCSP 동작방식
1. 클라이언트가 서버의 인증서를 수신
2. 인증서 내의 AIA(Authority Information Access) 확장 필드에서 OCSP Responder URL을 추출
3. 해당 URL로 OCSP Request 전송 (인증서 일련번호, 발급자 정보 포함)
4. OCSP Responder(보통 CA가 운영)가 인증서 상태를 조회 후 서명된 응답 반환
5. 클라이언트가 응답을 검증하고 인증서 사용 여부를 결정
간혹 '인증서가 유효하지 않습니다' 또는 '연결이 비공개로 설정되어 있지 않습니다'라고 뜨는 때가 있습니다.
이 경우는 대체로 인증서가 만료된 경우입니다. 인증서는 1년에 한 번씩 갱신해야 하며, 인증서가 만료된 서버는 아래와 같은 페이지가 노출됩니다.
인증서만 만료되었을 뿐, 서비스에는 이상이 없습니다. '고급 - 안전하지 않음'으로 하면 서비스 이용은 가능하죠.
하지만 보안을 위해 주기적으로 인증서 갱신은 필요합니다.
'CS > 보안' 카테고리의 다른 글
| [보안] 디지털 포렌식 휘발성 증거 수집 순서(RFC3227 증거 수집 및 보관 가이드라인) (0) | 2026.05.23 |
|---|---|
| [보안] 디지털 포렌식 5대 원칙: 정당성, 재현, 신속성, 연계 보관성, 무결성 (0) | 2026.05.23 |
| [보안] ISMS/ISMS-P 인증체계 개념 및 인증기준, 인증대상, 절차 알아보기 (0) | 2026.05.19 |
| [보안] 해시함수의 3가지 특성 알아보기: 역상저항성, 제2역상저항성, 충돌저항성 (0) | 2026.05.17 |
| [보안] CSRF(Cross-Site Request Forgery, 교차 사이트 요청 위조) 보안 취약점 정의, XSS와의 차이점 (0) | 2026.05.16 |
댓글