디지털 인증서 해지

디지털 인증서 폐기가 핵심입니다. PKI 보안. 기사에서 이것이 중요한 이유와 관리 방법을 알아보세요.

관련 콘텐츠

계속 배우고 싶으세요?

ssl.com의 뉴스 레터를 구독하고 정보를 유지하고 안전하게 보관하십시오.

디지털 인증서 폐지란 무엇입니까?

디지털 인증서 폐기는 자연 만료 날짜 이전에 디지털 인증서를 무효화하는 프로세스입니다. 이는 일반적으로 보안 통신을 제공하기 위해 인증서를 더 이상 신뢰할 수 없을 때 수행됩니다.

중요한 이유: 철회는 전반적인 보안을 유지하는 데 도움이 됩니다. PKI 손상되거나 오래된 인증서가 보안 통신에 사용되지 않도록 하여 생태계를 보호합니다.

인증서를 취소하는 이유는 무엇입니까?

인증서를 취소해야 하는 데에는 여러 가지 이유가 있습니다.

  1. 손상된 개인 키: 인증서와 관련된 개인 키가 도난당하거나 승인되지 않은 당사자가 접근한 경우 잠재적인 오용을 방지하기 위해 인증서를 즉시 취소해야 합니다.
  2. 인증서 정보 변경: 인증서 정보에 중대한 변경(예: 회사명 변경, 도메인 이름 변경 등)이 있는 경우 인증서를 폐기하고 업데이트된 정보로 새 인증서를 발급해야 합니다.
  3. 운영 중단: 인증서를 소유한 조직이나 단체가 운영을 중단하거나 더 이상 인증서가 필요하지 않은 경우 인증서를 취소해야 합니다.
  4. 새 인증서로 대체됨: 경우에 따라 만료되기 전에 기존 인증서를 대체하기 위해 새로운 인증서가 발급될 수 있습니다. 명확성을 유지하고 잠재적인 충돌을 방지하려면 이전 인증서를 취소해야 합니다.
  5. 잘못된 발행: 인증서가 오류로 발급되었거나 적절한 유효성 검사 없이 발급된 경우 CA 운영의 무결성을 유지하기 위해 인증서를 취소해야 합니다.

예 시나리오: 회사에서는 개인키에 접근한 직원이 불리한 상황으로 퇴사한 사실을 발견합니다. 통신 보안을 보장하려면 현재 인증서를 즉시 취소하고 새로운 개인 키를 사용하여 새 인증서를 발급해야 합니다.

인증서가 취소되었는지 확인하는 방법은 무엇입니까?

인증서 해지 상태를 확인하는 두 가지 기본 방법은 다음과 같습니다.

1. 인증서 해지 목록(CRL):

  • CRL은 CA(인증 기관)에서 관리하는 해지된 인증서 목록입니다.
  • 클라이언트는 주기적으로 CRL을 다운로드하고 문제의 인증서와 비교하여 확인합니다.
  • 장점: 로컬로 캐시할 수 있어 네트워크 트래픽이 줄어듭니다.
  • 단점: 업데이트 간에 최신 상태가 아닐 수 있으며 용량이 커지고 다루기 어려워질 수 있습니다.

2. 온라인 인증서 상태 프로토콜(OCSP):

  • OCSP를 사용하면 실시간 인증서 상태 확인이 가능합니다.
  • 클라이언트는 특정 인증서의 상태를 확인하기 위해 OCSP 응답자에게 요청을 보냅니다.
  • 장점: 전체 CRL을 다운로드하는 것보다 더 효율적으로 실시간 상태를 제공합니다.
  • 단점: 각 확인을 위해 네트워크 연결이 필요하며 잠재적인 개인 정보 보호 문제가 있습니다.

확인 방법:

CRL의 경우:

  1. 인증서(일반적으로 "CRL 배포 지점" 확장)에서 CRL 배포 지점을 찾습니다.
  2. 지정된 URL에서 CRL을 다운로드합니다.
  3. 인증서의 일련번호가 CRL에 나열되어 있는지 확인하세요.

OCSP의 경우:

  1. 인증서(일반적으로 "Authority Information Access" 확장 프로그램)에서 OCSP 응답자 URL을 찾습니다.
  2. 인증서 정보와 함께 응답자에게 OCSP 요청을 보냅니다.
  3. OCSP 응답을 수신하고 해석합니다.

많은 운영 체제와 브라우저는 인증서가 발견되면 자동으로 이러한 검사를 수행합니다.

인증서를 취소할 수 있는 사람은 누구입니까?

일반적으로 두 엔터티가 디지털 인증서를 취소할 수 있습니다.

1. 인증 기관(CA):

  • 인증서를 발급한 CA에는 인증서를 취소할 수 있는 권한이 있습니다.
  • CA는 의심되는 손상, 정책 위반 또는 인증서 소유자의 요청을 포함한 다양한 이유로 인증서를 취소할 수 있습니다.

2. 인증서 소유자:

  • 인증서를 발급받은 기관이나 개인은 인증서 폐지를 요청할 수 있습니다.
  • 이는 일반적으로 CA에서 제공하는 포털이나 인터페이스를 통해 수행됩니다.

인증서 소유자를 위한 프로세스:

  1. CA의 인증서 관리 포털에 로그인합니다.
  2. 해지할 인증서를 찾습니다.
  3. 취소 옵션을 선택하고 이유를 입력하세요.
  4. 철회 요청을 확인하세요.
  5. CA는 요청을 처리하고 해지 목록을 업데이트합니다.
  6. 적법한 취소 요청만 처리되도록 하려면 적절한 인증 및 권한 부여 메커니즘을 마련하는 것이 중요합니다.

취소 후에는 어떻게 되나요?

인증서가 취소되면 다음과 같은 여러 가지 일이 발생합니다.

1. 인증서가 무효화되는 경우:

  • 인증서는 더 이상 보안 통신에 신뢰할 수 있는 것으로 간주되지 않습니다.
  • 암호화, 디지털 서명 또는 인증 목적으로 사용해서는 안 됩니다.

2. 시스템은 인증서를 거부해야 합니다.

  • 적절하게 구성된 시스템과 애플리케이션은 해지 상태를 확인하고 해지된 인증서를 거부합니다.
  • 이는 손상되었거나 유효하지 않은 인증서를 사용하여 보안 연결을 설정하는 것을 방지합니다.

3. 철회 정보가 게시됩니다.

  • CA는 해지된 인증서를 포함하도록 CRL(인증서 해지 목록)을 업데이트합니다.
  • OCSP 응답자는 쿼리 시 취소된 상태를 보고하도록 업데이트되었습니다.

4. 잠재적인 서비스 중단:

  • 해지된 인증서를 사용하는 서비스는 새 인증서가 설치될 때까지 사용하지 못할 수 있습니다.
  • 가동 중지 시간을 최소화하려면 해지된 인증서를 신속하게 교체할 계획을 세우는 것이 중요합니다.

5. 보안 경고:

  • 일부 시스템은 해지된 인증서의 사용을 감지하면 경고를 생성할 수 있습니다.
  • 이러한 경고는 관리자가 잠재적인 보안 문제를 식별하고 해결하는 데 도움이 될 수 있습니다.

취소 후 모범 사례:

  1. 모든 시스템 및 애플리케이션에서 해지된 인증서를 즉시 제거하십시오.
  2. 보안 통신을 복원하려면 가능한 한 빨리 유효한 새 인증서를 설치하십시오.
  3. 철회 이유를 조사하고 적절한 보안 조치를 취하십시오(예: 손상된 비밀번호 변경, 시스템 업데이트).
  4. 향후 유사한 문제를 방지하려면 인증서 관리 프로세스를 검토하고 업데이트하세요.

결론

인증서 해지를 이해하는 것은 안전한 디지털 환경을 유지하는 데 중요합니다. 손상되거나 오래된 인증서를 즉시 취소하고 취소 상태를 적절하게 확인함으로써 조직은 사이버 보안 태세를 크게 강화하고 민감한 통신을 보호할 수 있습니다.

해지를 포함한 인증서 관리는 지속적인 프로세스라는 점을 기억하십시오. 정기적인 감사, 투명한 정책 및 자동화된 도구를 통해 디지털 인증서의 유효성, 신뢰성 및 보안을 유지할 수 있습니다.


OCSP 스테이플 링 및 서버에서 OCSP 스테이플 링을 구현하는 방법에 대한 자세한 내용은 다음 기사를 참조하십시오. 페이지로드 최적화 : OCSP 스테이플 링. 해지 된 인증서로 인한 브라우저 오류 메시지의 예는 이 가이드. 인증서의 해지 상태는 다음에서 확인할 수 있습니다. Certificate.revocationcheck.com. 물론 OCSP 또는 기타 관련 주제에 대한 질문이있는 경우 PKI 디지털 인증서, 이메일로 문의하시기 바랍니다 Support@SSL.com, 1-SSL-SECURE를 호출하거나이 페이지의 오른쪽 하단에있는 채팅 버튼을 클릭하십시오. 또한 Google의 여러 일반적인 지원 질문에 대한 답변을 찾을 수 있습니다. 지식. 그리고 언제나처럼 SSL.com을 선택 해주셔서 감사합니다!

최신 정보를 얻고 보안을 유지하세요

SSL.com 사이버 보안 분야의 글로벌 리더입니다. PKI 그리고 디지털 인증서. 최신 업계 뉴스, 팁, 제품 공지 사항을 받아보려면 등록하세요. SSL.com.

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.