• 02.514.7786
  • ucert@ucert.co.kr
제목 Let's Encrypt, 버그로 인한 3백만개 SSL 인증서 폐기
구분 공지
내용
안녕하세요 한국기업보안 유서트입니다:)  

무료 SSL/TLS인증서 제공 업체인 Let's Encrypt! 
며칠 전 발견된 버그로 인해 수백만 개의 Let's Encrypt 인증서가 현지시간 기준 3월 4일 자로 폐기됩니다. 
CA포럼에 기본 요구사항에 따라 규정된 폐기 기간이 짧기 때문에 
Let's Encrypt는 24시간 이내에 완료될 폐기에 대해 사용자들에게 빠르게 공지를 하고 있습니다. 

왜 인증서를 모두 폐지해야할까요? 그리고 이것이 Let's Encrypt 가입자에게 무슨 의미일까요? 
해당 인증서를 사용하는 사용자라면 어떻게 해야하는지에 대해서 알아보도록 하겠습니다.




[Let's Encrypt 대량 폐지 상황]

Let's Encrypt는 2월 29일, 코드에서 버그가 발생하여 올바른 도메인 확인을 거치지 않은 SSl/TLS를 발급할 수 있음을 발견,
이로 인해 3월 4일 1억 1600만개 중 3,048,289개 (기존 인증서의 2.6%를 차지)의 유효 SSL인증서가 대량 폐기됩니다.
따라서, 3월 4일 취소 마감전 영향 받은  Let's Encrypt SSL/TLS 인증서를 갱신하지 않으면 문제가 생겨 곤경에 빠지게 됩니다.​
만약, 갱신기회가 있기 전 인증서가 폐지되면 웹사이트 사용자에게 보안경고가 표시될 수 있다는 것이죠.

Let's Encrypt 개발자 Jacob Hoffman-Andrews가 해당 문제를 설명한 바에 따르면 
2020년 2월 29일 Let's Encrypt CAA코드에서 버그 발견했다고 하는데요. 
여기서 CAA코드는 인증서 발급 시 중요한 과정입니다. 

[인증서 발급 시 CAA가 중요한 이유]

CAA 레코드​는 모든 도메인에 대해 
사기성 SSL/TLS 인증서 발급 되는 것을 방지하고 PKI 환경을 강화하는 데 도움이 되도록 만들어진 리소스입니다.  
즉,  모든 발급 CA가 확인해야하는 DNS 레코드 인데요! 
CA가 도메인에 대한 인증서를 발급할 권한이 있는지 여부를 쉽게 알 수 있는 방법으로  아래와  같이 확인하는 2가지 방법이 있습니다. 

- CAA 레코드가 존재 할 경우 :  나열된 CA만 해당 특정 도메인에 대한 인증서를 발급할 수 있음
- CAA 레코드가 존재하지 않을 경우 :  모든 CA가 해당 도메인에 대한 인증서를 발급할 수 있음. 

따라서, 인증기관이 SSL/TLS 인증서를 발급할 때 마다 
CA 포럼 기본요구사항(BR) 설명서에 작성되어있는 특정 단계를 따라야 합니다. 

[ Let's Encrypt 인증서 면제에 대한 항소 ]

이 모든 것을 염두에 두고Let's Encrypt 는 수백만 개의 인증서를 폐지해야하는 불가피한 위치에 있는데요. 
Let's Encrypt는  주요 브라우저 중 하나인 Firefox(파이어폭스)에 인증서 폐지 면제를 요청!
그러나 모질라(Mozila)는 인증서 오류 발급과 관련,  
Let's Encrypt와 같은 CA가 취해야 할 조치에 대한 지침을 문서에서 지적했습니다. 

- CA는 문제의 원인을 올바르게 진한하기 위해 공개키인프라(PKI) 영향 받는 부분에서 발행 중단해야함. 
또는 
- CA는 왜 그렇게 하지 않기로 선택했는지 설명해야 함. 

일단, 문제의 원인이 진단된 후 재발급을 다시 시작하기로 결정한 영향 받는 CA는 추가적 오발을 방지하는 프로세스를 갖추어야 합니다.  
그리고 모질라는 또한 인증서 해지가 필요한 상황에 대한 지침도 제공했습니다. 

[해당 폐지에 따른  Let's Encrypt ]

Let's Encrypt 는 해당 영향을 받는 가입자에게 이메일을 보냈다고 하는데요! 
그러나!!! 모든 가입자에 대한 연락처 정보를 가지고 있지 않기 때문에 
고객이 업데이트 할 시간에 이를 알리지 못할 수 있음을 의미합니다. 

그래서 이들은 영향을 받는 Let's Encrypt 인증서를 사용하고 있는지에 대한 확인도구 링크를 게시했습니다. 
(이 또한 알림을 받지 못하고 해당 뉴스를 포럼에서 확인하지 않는 경우에는 도움이 되지 않지만...) 
(... 이런 일이 발생하지 않도록 무료 인증서보다는 "제대로 된 관리체제"를  갖추고 "전문 서비스" "기술지원"을 해주는 "신뢰할 수 있는 인증기관"의 SSL 인증서 설치로 인증서 오류 및 폐기로 인한 문제 및 곤란한 상황을 예방할 수 있는 것이 좋습니다.) 

" Let's Encrypt 인증서를 이용하는 사용자들을 위한 안내"  

1단계 

Let's Encrypt 관련 메일을 못받았을 경우, 
아래 링크를 들어가면 인증서 일련번호를 확인하여,  영향을 받는 인증서 목록과 일치 여부 확인이 가능합니다.   

▼ Let's Encrypt 인증서 영향 여부 확인 링크 
https://letsencrypt.org/caaproblem/

2단계

사용하고 있는  Let’s Encrypt 인증서가 영향을 받는 경우, 다음 단계는 인증서 갱신!  
만약, 유효기간이 90일보다 긴 SSL인증서를 사용하는 경우 인증서를 다시 발행하는 것이 더 합리적인데요. 
그러나 이는 유효기간이 훨씬 짧은  Let’s Encrypt 무료 인증서에 영향을 미치므로 인증서를 간단히 갱신하는 것이 좋습니다. 

만약, ACME 클라이언트를 사용하여 인증서를 갱신하는 경우 갱신 프로세스와 관련된 특정 문서를 참고하시기 바랍니다.  
그리고 Certbot 사용하는 경우 아래 명령어를 사용하면 편리합니다. 

certbot renew --force-renewal

[정리 /요약]

1. Let’s Encrypt 버그 문제 발생 
2. Let’s Encrypt 해당 버그 문제 영향 미치는 인증서 폐지 
3. 이로 인해 1억 1600만 개 중 3,048,289개의 유효 SSL 인증서가 현지시간 기준 3월 4일 기준 대량 폐지. 
4. Let’s Encrypt 인증서 영향 받는 사용자에게 이메일 안내 
5. 이메일 정보 없는 사용자는 Let’s Encrypt 공지 확인 필요 
6. 영향 받는 Let’s Encrypt 인증서 사용자는 확인 후 갱신 진행 필요


이런 인증서 오류 및 폐기로 인한 문제 및 곤란한 상황에 처하지 않기 위해서는 
Let’s Encrypt 와 같은 무료 인증서보다는 철저한 인증서 관리와 함께 전문적인 서비스기술지원을 해주는 신뢰할 수 있는 인증기관의 SSL 인증서를 통해 사이트의 보안성을 강화시키는 것이 좋습니다. 


Let’s Encrypt 인증서 문제에 영향을 받는 인증서 사용자들은 유서트 이벤트를 통해 SSL인증서와 함께
혜택도 받는 것은 어떨까요?  


보안을 보완하다 
한국기업보안 유서트가 함께 하겠습니다. 


유서트 SNS