로고

고객만족센터

  • 02.514.7786
  • ucert@ucert.co.kr
제목 [중요] [중요] 글로벌 SSL/TLS 인증 표준 MPIC 강화 안내
구분 공지
내용
안녕하세요. 유서트입니다.

최근 일부 고객 환경에서 SSL 인증서 발급이 지연되거나 실패하는 사례가
지속적으로 발생하고 있어 안내드립니다.

1. MPIC 검증 환경 안내

MPIC(Multi-Perspective Issuance Corroboration) 검증 방식은
2024년부터 글로벌 인증기관(GlobalSign, DigiCert, Sectigo 등)에서 단계적으로 적용되어 운영 중인 도메인 검증 방식입니다.

 

기존에는 인증기관의 일부 서버에서만 도메인 접근을 확인하는 방식으로 검증이 이루어졌으나,
현재는 전 세계 여러 네트워크 지점에서 동시에 도메인 접근을 확인하는 방식으로 검증이 수행되고 있습니다.

 


최근 인증기관들이 글로벌 검증 노드를 확대하고 검증 정책을 강화하면서,
해외 네트워크 접근이 제한된 환경에서는 도메인 검증이 정상적으로 완료되지 않아 인증서 발급 실패 사례가 증가하고 있습니다.


특히 다음과 같은 환경 변화로 인해 인증 실패가 발생할 가능성이 높아졌습니다.

 

· MPIC 검증 노드 확대 및 글로벌 검증 강화

· 방화벽, WAF, Geo-blocking 등 네트워크 보안 정책과의 충돌 증가

· 인증기관 플랫폼 변경 및 클라우드 기반 인프라 전환


이로 인해 특정 국가 또는 해외 네트워크 접근이 차단된 환경에서는 도메인 검증이 정상적으로 완료되지 않을 수 있습니다.


2. 인증서 발급이 실패할 수 있는 주요 환경

다음과 같은 네트워크 정책이 적용된 환경에서는
인증서 발급 과정에서 검증 실패가 발생할 수 있습니다.

· 해외 IP 접근 차단
· 특정 국가 IP 차단
· IP 화이트리스트 기반 접근 허용
· 내부망 또는 폐쇄망 운영 환경
· WAF 또는 방화벽의 Geo-blocking 정책

이 경우 국내에서 접속이 정상적으로 확인되더라도 해외 검증 노드에서 접근이 차단되어 인증서 발급이 실패할 수 있습니다.


3. 권장 대응 방법
① DNS 인증 방식 사용 (가장 권장)

DNS TXT 또는 CNAME 레코드를 이용한 인증 방식입니다.

· 방화벽 정책 변경 불필요
· 해외 IP 허용 불필요 (인증기관 화이트리스트 IP 허용 필요)
· MPIC 환경에서 가장 안정적인 방식
· 가능한 경우 DNS 인증 방식 사용을 권장드립니다.

② HTTP / HTTPS 인증 방식 사용 시

파일 인증 방식을 사용하는 경우
발급 과정 중 인증기관 검증 서버가 고객 서버에 접근해야 합니다.

따라서 다음 정책이 필요합니다.

· 80 / 443 포트 외부 접근 허용
· 해외 네트워크 접근 허용(any)
· 일부 환경에서는 발급 진행 중 약 10~30분 동안 임시 개방이 필요할 수 있습니다.

4. IP 화이트리스트 운영 고객 안내

보안 정책상 IP 화이트리스트 방식으로 운영 중인 고객은
아래 인증기관 검증 IP를 방화벽에 허용해야 인증서 발급이 정상적으로 진행됩니다.

5. 주요 인증기관 검증 IP (참고)

① GlobalSign (6개 원격 노드 허용 필수)

  • 성공 조건: 6개 노드 중 4개 이상 성공 시 발급

  • 허용 IP (IPv4):

    • 52.64.70.230 (호주), 15.156.151.97 (캐나다), 63.176.81.153 (독일)

    • 16.16.130.86 (스웨덴), 18.205.30.124 (미동부), 54.215.173.133 (미서부)


② DigiCert (User-Agent 허용 적극 권장)

  • User-Agent란? 웹사이트에 방문하는 프로그램(봇)의 "디지털 이름표"입니다. 
    특정 IP 주소는 수시로 변경될 수 있지만, 이 '이름표'는 고정되어 있어 보안 설정에 매우 유리합니다.

  • 권장 이유: DigiCert의 검증 노드 IP는 전 세계적으로 매우 다양하고 자주 추가됩니다. IP를 일일이 등록하기보다 이 '이름표'를 허용하는 것이 가장 확실한 발급 방법입니다.

  • 허용해야 할 이름표(String):

    • DigiCert DCV/1.1

    • DigiCert DCV Bot/1.1

  • 핵심 IP (참고): 52.78.185.62, 52.197.215.146, 216.168.240.4, 202.65.16.4


③ Sectigo (임시 전면 개방 권장)

  • 권장 방식: 클라우드 기반 동적 IP를 사용하므로 검증 시점(약 10~30분) 동안 80/443 포트 전 세계(Any) 개방이 가장 확실합니다.

  • 주요 IP 대역: 91.199.212.0/24, 199.66.201.0/24, 52.64.70.230


MPIC 검증 환경에 대응하지 않을 경우 인증서 발급 또는 갱신 과정에서 지연이나 실패가 발생할 수 있으므로, 

현재 운영 중인 인증 방식과 네트워크 정책을 사전에 점검해 주시기 바랍니다.

 

관련으로 궁금하신 사항은 dev_tech@ucert.co.kr 로 문의 부탁드리겠습니다. 

 

감사합니다. 
유서트 SNS