SSL 알고리즘 SHA-2 전환 안내

마이크로소프트는 SSL의 SHA-1 알고리즘에 대해 Windows XP의 서비스가 완전히 종료되는 2017년까지 SHA-2 알고리즘으로 전환하는 것에 초점을 맞추고 있습니다.

그러나, 최근에 구글(Google)은 마이크로소프트와는 상반되게 SHA-1 알고리즘에 대해 자체적으로 철수할 예정이며, 일정은 2014년 9월 26일부터 시작한다고 발표하였습니다. 이에 따라 구글 크롬(Chrome)에서 특정 기준을 충족하는 SHA-1 서명 인증서에 대한 시각적인 표시 (자물쇠, 녹색 바)가 변경될 것으로 발표하였습니다.

SHA-1 서명 인증서 신뢰중단의 유예기간이 2016년까지로 정해진 가운데 각 CA(인증기관)에서는 SHA-2 알고리즘 도입을 위해 SHA-1 알고리즘으로의 인증서 발급을 제한하고 있습니다.

이에 따라 한국기업보안 유서트 에서는 인증기관 정책에 따라 만료일 기준 2016년 1월1일 이후 SHA-1 인증서를 사용하고 계시는 고객사를 대상으로 SHA-2 인증서로 재발급 및 갱신 진행을 하고 있으니, 아래 일정 확인을 부탁드립니다.

 

인증서 알고리즘 확인 방법

SHA-1 알고리즘 SHA-256 알고리즘
sha1 sha2

SHA-2 알고리즘 발급일정

 

SHA-2 알고리즘 변경에 의한 Google 브라우저 표기 안내

Chrome Version 2016년 1~5월 만료 2016년 6~12월 만료 2017년 1월이후 만료 2017년 이후 표시방법
39 녹색자물쇠 표시 녹색자물쇠 표시 “안전하지만 약간의 에러가 있는 (secure, but with minor errors)” 것으로 취급되며, 노란색의 삼각형이 붙은 자물쇠가 표시됨. yellow-triangle
40 녹색자물쇠 표시 “안전하지만 약간의 에러가 있는 (secure, but with minor errors)” 것으로 취급되며, 노란색의 삼각형이 붙은 자물쇠가 표시됨. “중립적, 안전하지 않음 (neutral, lacking security)”로 취급되며, 이러한 인증서에는 HTTP 세션 표시와 함께 빈 페이지 아이콘이 붙게 됨. Screen Shot 2014-09-05 at 12.05.52 PM
41 “안전하지만 약간의 에러가 있는 (secure, but with minor errors)” 것으로 취급되며, 노란색의 삼각형이 붙은 자물쇠가 표시됨. “안전하지만 약간의 에러가 있는 (secure, but with minor errors)” 것으로 취급되며, 노란색의 삼각형이 붙은 자물쇠가 표시됨. “확실하게 불안한(affirmatively insecure)” 것으로 취급되며, 이런 인증서는 붉은 “X” 표시 됨. Screen Shot 2014-08-29 at 1.26.59 PM

현재(2015년 4월) 기준으로 Chrome 버전 40 내용으로 적용되고 있음. (실제 버전은 41)

위 Chrome 정책은 계획 수립의 목적으로 배포되는 내용이므로 실제 내용과 상이 할 수 있습니다.

 

SHA-2 알고리즘 변경에 의한 인증기관(CA) 정책안내

주요 서버 SHA-2 알고리즘 인증서 지원 정보

Browser (브라우저) Server (서버) OS (운영체제)
Chrome 26+ IE + (XP SP3+) Apache 0.9.80+ IBM Domino 9.0+ Android Apple IOS
Firefox 1.5+ Kongueror 3.5.6+ IBM HTTP GSKit 7.0.4.14+ OHS 11 + Blackberry Chrome OS
Mozilla 1.4+ Netscape 7.1+ Java Based 1.4.2+ Mozlilla NSS 3.8+ Windows Windows Phone
Opera 9.0+ Safari 3+ (os x 10.5) OpenSSL 0.9.80+ GNUTLS 1.7.4+ Windows Server  
    .NET FX 3.5 SP1+ Microsoft IIS 6.0+    
MicroSoft Client Server Code Signing
Windows XP (SP1, SP2) 해당없음
Windows XP SP3 해당없음 일부지원
Windows Vista 해당없음 일부지원
Windows 7 [14] 해당없음 일부지원
Windows 8 해당없음
Windows Server 2003 / 2003 SP1
Windows Server 2003 SP2 +MS13-095
Windows Server 2008 일부지원
Windows Server 2008 R2 [14]
Windows Server 2012 & 2012 R2
Windows Phone 5 해당없음 해당없음
Windows Phone 6 해당없음 해당없음
Windows Phone 7 해당없음 해당없음
Windows Phone 8 해당없음 해당없음

주요 소프트웨어 플랫폼 SHA-2 알고리즘 인증서 지원 정보

Server (서버) 최소한의 OS 버전
Windows SP3 로 업그레이드한 경우 XP 포함
Windows Server 패칭을 한 경우 2003
Apple OS X 10.5+
Chrome OS 출시 이후
iOS 3+
Android 2.3+
Blackberry 5+
Window Phone 7+

iOS와 안드로이드에는 SHA-2 호환성 문제가 없는 것으로 보고있음.

안드로이드 기기의 1% 미만이 안드로이드 버전 2.3 이하를 사용하고 있으며, iOS 기기의 0.5% 미만이 iOS 버전 3 이하를 사용한다고 함

참고자료
안드로이드 : https://developer.android.com/about/dashboards/index.html?utm_source=ausdroid.net
iOS : https://developer.apple.com/support/appstore/

 

SHA-2 알고리즘 인증서 미 지원 플랫폼

IIS 5.0
IBM Domino 8
OHS 9i ~ 10g
Juniper SBR
Citrix Receiver models(일부, 자세한 모델은 링크 확인) (Citrix Receiver models 확인)
Linux 13.0
HTML 5 1.2
Playbook 1.0
Blackberry 2.2 / BlackBerry 1.0 Tech Preview
Cisco ACE module software versions A2 and A3