2016년 1월 1일 부터 SHA-1 인증서 발급 중단

주요 브라우저사의 보안 정책에 따라 2016년 1월 1일 이후 SSL 인증서 발급 시 SHA-1 SSL 인증서 발급이 중단 됩니다.

현재 Chrome 브라우저는 현재 SHA-1 인증서가 설치된 사이트를 시각적으로(자물쇠 사라짐) 경고하고 있으며,
IE, Firefox, Chrome 등 브라우저는 일정에 맞춰 SHA-1 인증서가 설치된 사이트의 서비스가 거부될 예정입니다.

[브라우저사 공지 링크]

MS 공식 블로그 : https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/

Google 공식 블로그(Google Online Security Blog) : https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html

Mozilla 공식 블로그(Mozilla Security Blog) : https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

주요 브라우저 SHA-1 거부 고지 날짜

브라우저사 SHA-1 알고리즘 거부
공식발표일자 변경고려날짜
Microsoft (IE) 2017년 2월 14일 확정
Mozilla (Firefox) 2017년 1월 1일 2016년 7월 1일 고려중
Google (Chrome) 2017년 1월 1일 2016년 7월 1일 고려중

브라우저 별 SHA-1 인증서 표기 방식 (현재 ~ 2016년 12월 31일까지)

브라우저 표기 특이사항 비고
Explorer sha2 표기 변동사항 없음 보안정책에따라 변동이 있을 수 있습니다.
Chrome sha2 자물쇠 사라짐
Firefox sha2 표기 변동사항 없음

2017년 1일 1일 이후부터 SHA-1 인증서가 설치된 사이트의 서비스 거부

브라우저 인증서표기 자료
Explorer sha2 https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/

In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.
Chrome sha2 https://googleonlinesecurity.blogspot.kr/2014/09/gradually-sunsetting-sha-1.html
(Gradually sunsetting SHA-1)

That’s why Chrome will start the process of sunsetting SHA-1 (as used in certificate signatures for HTTPS) with Chrome 39 in November. HTTPS sites whose certificate chains use SHA-1 and are valid past 1 January 2017 will no longer appear to be fully trustworthy in Chrome’s user interface.
Firefox sha2 https://blog.mozilla.org/security/
(Continuing to Phase Out SHA-1 Certificates)

In our previous blog post about phasing out certificates with SHA-1 based signature algorithms, we said that we planned to take a few actions with regard to SHA-1 certificates:

1. Add a security warning to the Web Console to remind developers that they should not be using a SHA-1 based certificates
2. Show the “Untrusted Connection” error whenever a SHA-1 certificate issued after January 1, 2016, is encountered in Firefox
3. Show the “Untrusted Connection” error whenever a SHA-1 certificate is encountered in Firefox after January 1, 2017

Browser

Browser Minimum Browser Version
Internet Explorer 6+ (With XP SP3+)
Chrome 26+
Firefox 1.5+
Mozilla 1.4+
Netscape 7.1+
Opera 9.0+
Safari 3+ (Ships with OS X 10.5)
Konqueror 3.5.6+

Server

Server Minimum Server Version
Apache OpenSSL 0.9.80+
IBM Domino Server 9.0(Bundled with HTTP 8.5+)
IBM HTTP Server 8.5+(Bundled with Domino 9+)
Oracle Wallet Manager 11.2.0.1+
Java Based Server JAVA 1.4.2+
Mozlilla NSS 3.8+
GNUTLS 1.7.4+
.NET FX 3.5 SP1+
Microsoft IIS 6.0 (Hotfix 필요)
Cisco ASA 5500 8.2.3.9+ for AnyConnect VPN Sessions; 8.4(2)+ for other functionalities
Amazon Web Services (AWS) 호환가능하지만, 서버플랫폼에 따라 호환불가능할 수 있음

OS

OS SSL Certificate Minimum OS Version Client Certificate Minimum OS Version
Android 2.3+ 2.3+
Apple IOS 3.0+ 3.0+
Blackberry 5.0+ 5.0+
Chrome OS All Version All Version
Windows XP SP3+ XP SP3+ (일부)
Windows Phone 7+ 7+
Windows Server 2003 SP2(Hotfixes 설치필요) 2003 SP2(Hotfixes 설치필요)

OS

OS Client Server S/MIME
Windows XP (SP1, SP2) X N/A N/A
Windows XP SP3 V(Hotfix 필요 : KB 968730) N/A N/A
Windows Vista V N/A V
Windows 7 V N/A V
Windows 8 V N/A V
Windows Server 2003 SP1 X N/A N/A
Windows Server 2003 SP2 V(Hotfix 필요 : KB 968730) V(Hotfix 필요 : KB 938397) 일부지원
Windows Server 2008 & 2008 R2 V V V
Windows Server 2012 & 2012 R2 V V V
Windows Phone 5 X N/A N/A
Windows Phone 6 X N/A N/A
Windows Phone 7 V N/A V
Windows Phone 8 V N/A V

2016/01/01 이후 SHA-1으로 서명 시 Window7 에서 "알수없는 게시자" 로 표식

브라우저 표기
Window 7 / 8 sha2
Window 10 sha2

참고 : http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx

MicroSoft 정책안내 (기간 : 2016/01/01 ~ 2017/2/13)

인증기관 Windows
인증기관에서 SHA-2 인증서만 발급됨 (vista / Server2008 개발자 제외) Windows 는 2016년 1월 1일 이전에 서명 된 SHA-1 인증서에 대해 신뢰하지 않음 (알수 없는 게시자 표기) (kernel mode 제외)
2017년 2월 13일 이후 내용이 변경될 수 있습니다.
자세한 사항 : http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx
OS Authenticode Kernel Mode VBA Macros:Office 2003, 2007, 2010 VBA Macros: Office 2013
Windows XP SP3 V 알수없는 게시자 알수없는 게시자 N/A
Windows Vista V 알수없는 게시자 알수없는 게시자 N/A
Windows 7 V 알수없는 게시자 알수없는 게시자 V
Windows 8 V V 알수없는 게시자 V

SHA-1 / SHA-2 동시지원 방법 : SHA-1 / SHA-2 인증서로 듀얼서명 진행필요

1. SmartScreen(스마트스크린) 필터란?

SmartScreen(스마트스크린) 필터는 MS에 보고된 피싱사이트 탐지하여 멀웨어(악성소프트웨어)의 다운로드 또는 프로그램 설치를 미연에 방지할 수 있도록 하는 Internet Explorer 의 기능입니다. 이 기능은 Internet Explorer 사용 시 기본적으로 설정이 되어있으며, 사용자가 기능을 원하지 않을 때 해제할 수 있습니다.


SmartScreen(스마트스크린) 필터 경고


2. SmartScreen(스마트스크린) 필터가 사용자를 보호하는 방법

1) 사용자가 웹을 검색하는 동안 웹 페이지를 분석하여 의심스러운 특징이 있는지 파악하여 의심스러운 웹 페이지를 발견하면 SmartScreen은 사용자에게 피드백을 제공할 수 있는 기회를 제공.

2) 사용자가 방문하는 사이트를 동적으로 보고되는 피싱 사이트 및 악성 소프트웨어 사이트 목록과 비교 후 일치하는 것을 찾으면 SmartScreen 필터는 안전을 위해 사이트가 차단되었음을 알리는 경고를 사용자에게 표시.

3) 웹에서 다운로드 하는 파일을 보고된 악성 소프트웨어 사이트 및 안전하지 않은 것으로 알려진 프로그램의 목록과 비교 후 일치하는 것을 찾으면 SmartScreen 필터는 안전을 위해 다운로드가 차단되었음을 알리는 경고를 사용자에게 표시.

4) 사용자가 다운로드 하는 파일을 많은 Internet Explorer(인터넷 익스플로러) 사용자가 다운로드한 잘 알려진 파일 목록과 비교 후 다운로드하는 파일이 목록에 없으면 SmartScreen 필터는 경고를 표시.

3. SmartScreen(스마트스크린) 필터 해제 방법

이용자 Internet Explorer(인터넷 익스플로러) 메뉴의[도구] → [SmartScreen 필터] → [SmartScreen 필터 끄기] → 'SmartScreen 필터 해제' 클릭
배포자 [EV CodeSign 서명]
CodeSign 인증서 중 EV CodeSign으로 서명한 파일은 MicroSoft의 Internet Explorer에서 SmartScreen 필터를 거치지 않고 배포 가능.

4. SmartScreen(스마트스크린) 필터가 표시되는 경우와 자동해제

MicroSoft 에서는 SmartScreen(스마트스크린) 필터의 자동해제 되는 경우에 대해 내부정책으로 외부에 공개하지는 않고 있습니다. 일반적으로 아래와 같은 경우, 디지털 서명(코드사인)인증서를 사용하여도 SmartScreen(스마트스크린) 필터에 걸러지는 경우가 있으며, 자동해제의 경우는 통상 3시간에서 최대 3개월까지 시간이 소요될 수 있습니다.

1) 프로그램을 구성하는 소스 중 일부를 수정하는 경우

2) 배포되는 파일의 경로 변경하는 경우

3) 코드사인 인증서 배포 파일 재서명

5. SmartScreen(스마트스크린) 필터를 띄우지 않고 바로 배포가능 한 인증서 EV CodeSign

EV Codesign 인증서란, 표준 코드사인(디지털 서명) 인증서 보다 상위등급에 존재하며, 보다 강한 신뢰 수준을 제공하여 게지사의 신원이 정확하다는 것을 검증하여 발급됩니다.

EV Codesign 인증서는.exe, .cab, .dll, .ocx, .msi, .xpi 및 .xap 파일과 같은 PE 이진 파일에 디지털 서명할 수 있고 Windows 10버전의 모든 커널 모드 드라이버에서 서명이 가능합니다.

일반 코드사인증서와 EV CodeSign 인증서 비교

일반 코드사인(디지털서명) 인증서 EV CodeSign 서명
인증서에 나타나는 정보 배포하는 회사의 회사명 표기 배포하는 회사의 회사명, 주소 표기
알 수 없는 게시자(unknown publisher)문구 제거 O O
타임스탬프 적용 여부 옵션 의무사용
서명 수량의 제한 제한 없음 제한 없음
하드웨어 토큰에 인증서 저장 X O
Microsoft SmartScreen 즉시해제 X O
Windows 10의 모든 커널 모드 드라이버 서명 X O

EV CodeSign 특징

-일반 코드사인보다 더 엄격한 심사 절차와 함께 배포자에 대해 확인하여, 실제 배포자의 신원을 도용하거나 허위로 자격을 얻는 것을 방지합니다.

- USB 토큰에 인증서를 저장해 도난이나 해킹 등의 위험을 줄입니다.

- Microsoft의 Smart Screen 기능을 즉시 해제하여 프로그램 다운 시 나오는 경고 메세지를 제거합니다.

EV CodeSign 지원 플랫폼

- Microsoft Authenticode(32비트&64&) files, ActiveX controls, and kernel software
- Microsoft Office Macros, VBA
- Java Applets
- Mozilla and Netscape objects
- Adobe AIR files
- Apple Mac OS application