인증 기관 (CA)은 지난 XNUMX 년 동안 온라인 보안의 기초가되어 왔으며 디지털 인증서는 거래와 신원의 보안을 보장하는 신뢰할 수있는 방법입니다. 기본적으로 CA 서명 인증서는 온라인으로 ID를 인증하는 유용한 도구입니다. 안전하지 않은 네트워크를 통한 암호화 된 보안 통신을 허용합니다. 서명 된 문서가 제 XNUMX 자에 의해 변경되지 않았 음을 확인하여 무결성을 확인합니다.
그러나 CA의 가치는 즉각적인 실질적인 유용성을 넘어 확장됩니다. 사용자를위한 매우 간단한 검증 프로세스는 단순한 사실 확인을 넘어서는 작업 및 신뢰 체인으로 구성됩니다.
CA는 무엇을합니까?
브라우저 및 운영 체제 공급 업체는 다음을 확인하기 위해 공용 CA (예 : SSL.com)를 신뢰합니다.
- 도메인 이름 제어
- 조직과 그 대리인의 적법성
- 이메일 주소와 같은 연락처 정보
CA는 다양한 유형의 인증서를 발급합니다. X.509 표준. CA에서 발급 한 인증서는 웹 사이트 트랜잭션의 보안을 유지하고 맬웨어로부터 보호하며 문서 및 전자 메일 교환을 인증합니다. 인터넷에서 ID를 설정하려면 CA가 보장하는 다양한 프로세스, 절차 및 프로토콜을 통해 수행됩니다. 예를 들면 다음과 같습니다.
- SSL /TLS 브라우저를 통해 월드 와이드 웹에 액세스 할 수있는 신뢰할 수 있고 암호화 된 수단을 제공하여 개인 정보와 거래를 보호합니다.
- 디지털 서명 인증 된 디지털 문서를 제공합니다.
- 코드 서명 인터넷에서 소프트웨어를 안전하게 배포 할 수 있습니다.
- S/MIME 인증 및 암호화 된 이메일을 활성화합니다.
- 클라이언트 인증 인증서는 컴퓨터와 응용 프로그램에 대한 액세스를 보호합니다.
이 모든 것은 공용 CA의 루트 인증서에 고정 된 인증서를 통해 수행되며 "신뢰의 사슬"
공개적으로 신뢰할 수있는 CA가되기 어려운 이유는 무엇입니까?
위에서 설명한 것처럼 CA는 웹 사이트, 회사 및 개인의 신원을 확인하기 위해 운영 체제 및 기타 소프트웨어에서 신뢰합니다. 공용 CA가 설정되고 소프트웨어 공급 업체 및 기타 플레이어의 신뢰를 얻은 후에는 디지털 인증서를 사용하여 정보의 사기를 방지 할 수 있습니다. 자체 서명 된 루트 CA를 만드는 프로세스는 비교적 간단합니다. 광범위하게 사용 가능하거나 저렴한 또는 무료 소프트웨어를 가진 사람이 정직하게 만들 수 있습니다. 그러나 실제로 공공 인증 기관은 많지 않습니다. 사실 현재는 CA 회원 52 명 CA / 브라우저 포럼 및 대부분의 SSL /TLS 인증서는 그보다 적은 수에서 제공됩니다. 그렇다면 왜 모두가 그것을 만들지 않습니까?
공공 인증 기관이 독점 클럽이되는 이유는 공공 CA가되어 기능을 유지하기위한 보편적 신뢰를 얻고 유지하는 것이 많은 작업이기 때문입니다. 모든 브라우저와 운영 체제에 포함하는 것은 사용자의 말에 완벽하지만 완벽하게 수년이 걸렸을 것입니다. 새 컴퓨터를 구입하거나 웹 브라우저 또는 이메일 클라이언트와 같은 소프트웨어를 설치할 때 신뢰할 수있는 루트 CA 인증서 목록이 이미 포함되어 있습니다. 그러나 그 목록에 추가되는 것은 하룻밤 사이에 일어나는 일이 아니며, 머무르는 것도 도전입니다.
인증서를 비즈니스에 판매하려면 CA는 사용자에게 안전하고 안정적인 환경을 제공하려는 소프트웨어 공급 업체의 요구 사항을 충족해야합니다. 각 주요 브라우저 및 운영 체제 공급 업체에는 CA가 변경 될 때 CA가 충족하고 따라야하는 고유 한 기준이 있습니다. 그렇지 않은 경우 비용이 많이 듭니다. 루트 프로그램 중 하나에 CA가 포함되어 있지 않은 경우 (신뢰 위반 또는 정책 변경으로 최신 상태를 유지하지 못한 경우) CA는 재난을 일으킬 수 있습니다. 전체 사업. Safari에서는 작동하지만 Chrome에서는 작동하지 않는 웹 사이트 SSL 인증서를 찾고있는 회사가 없습니다. Windows가 신뢰하지 않는 코드 서명 인증서를 원하는 소프트웨어 제작자는 거의 없습니다.
브라우저, 운영 체제 및 기타 소프트웨어 제공 업체와의 미묘한 균형을 유지하는 것 외에도 인증 기관은 엄격한 외부 감사를받습니다. 바로이 사이트의 맨 아래에있는 배지가 보이십니까? 각 인장은 감사를 나타내며, 각 감사는 매년 수행됩니다. CA가 감사에 실패하거나 루트 프로그램 요구 사항을 충족하지 못하는 경우 CA의 인증서가 중요한 루트 저장소에서 제외되어 쓸모 없게 될 수 있습니다.
의 CA 회원 CA / 브라우저 포럼 (CA와 공급 업체의 컨소시엄 PKI브라우저 및 운영 체제와 같은 지원 소프트웨어)는 수십 개의 산업 표준을 개발 및 시행하고 CA / B 포럼을 설정하는 데 적극적입니다. 기준 요구 사항. 회원은 교육 및 연구 기관에 참여하고 이해 관계자와 협력하여 인터넷 보안을 강화하며 종종 새로운 표준을 제안하고 채택하는 데 앞장서고 있습니다. CA는 SSL /TLS 시스템이 작동하고 있으며 그 명성은 건전합니다. 즉, 시스템과 함께 작업하는 시스템의 보안에 대해 적극적이고 공격적인 접근을해야합니다.
인증 기관은 이러한 표준을 준수 할뿐만 아니라 해지 된 인증서를 추적하는 CRL (인증서 해지 목록) 및 OCSP 응답자뿐만 아니라 인증서 투명성 목록 (모든 발급 된 인증서의 공개 레코드)을 유지 관리하고 제공해야합니다. 모든 인증서를 고려하고 인증서를 뒷받침하는 신뢰가 절대로 깨지지 않도록하는 것이 무엇보다 중요합니다.
CA를 선택하는 방법
따라서 공공 인증 기관을 유지하고 운영하는 데 필요한 모든 작업을 알고 있다면 어떤 CA가 자신의 요구에 가장 적합한 지 어떻게 알 수 있습니까?
현재 저비용 (또는 무료) CA 옵션이 있지만 그 감소 된 비용으로 무엇이 거래되고 있는지 아는 것이 중요합니다. 일반적으로 무료 CA는 상용 CA와 동일한 유효성 검사 수준을 제공하지 않으며 웹 사이트 SSL /TLS 인증서. 예를 들어 웹 사이트 SSL /TLS 인증서는 해당 도메인 (도메인 유효성 검사)을 제어하지만 소유자가 누구인지 확인하는 추가 단계를 수행하지 않습니다. 의도 한 사용 사례에 따라 DV는 괜찮을 수 있지만 (SSL.com을 포함한 모든 상업용 CA도 제공) 코드 서명 인증서, Adobe PDF에 대한 디지털 서명 또는 비즈니스에 대한 검증 된 정보가 필요한 경우 웹 사이트 인증서를 사용하려면 상업용 CA로 이동해야합니다.
신뢰할 수있는 CA를 선택하는 방법에 대한 자세한 내용은 모범 사례 가이드.
