시만텍 인증서 보안 이슈

시만텍인증서 단계적 비신뢰에 대한 안내

2015년 9월 시만텍은 내부 테스트용으로 google.com 도메인의 SSL 인증서를 구글의 동의없이 임의로 발급하였고, 이 인증서가 외부로 유출되는 사고가 일어났습니다. 또한 2010년 1월부터 2017년 1월까지, 시만텍의 파트너 RA인 한국전자인증은 RA로서 보유한 인증서 발급 권한을 사용하여 불명확한 웹사이트 도메인(example.com, testexample.com, test1.com 등)에 대해 시만텍 SSL 인증서 127개를 비정상적인 절차로 부정 발급한 것이 확인되었습니다.
해당 이슈로 SSL인증서 최대 기간이 2년으로 축소 되었고 Google 에서는 Symantec 인증서를 신뢰할 수 없기 때문에 현재 발급된 인증서에 대해서 신뢰성이 떨어진다는 이유로 Symantec SSL 인증에 대해서 신뢰를 해야 할지 여부를 논의했습니다.
몇 달 동안 심의를 거친 후 Google은 마침내 2017년 7월 27일에 최종 계획을 게시하고 2016년 6월 1일 이전에 Symantec의 기존 PKI 시스템에서 발행된 Symantec SSL / TLS 인증서에 대한 신뢰를 점진적으로 개선하기 위한 공식 일정을 확인하였으며, 최종적으로
Symantec은 SSL 인증 사업을 매각하기로 결정하였습니다.

왜 브라우저社는 시만텍 SSL을 비신뢰하기로 하였는가?

[1차 부정 발급]
2015년 9월 시만텍은 내부 테스트용으로 google.com 도메인의 SSL 인증서를 구글 동의없이 임의로 발급하였고, 이 인증서가 외부로 유출되는 사고가 일어남.
하지만 구글이 조사한 결과, 그 동안 2,458개의 정보 미확인 인증서를 발급한 사실이 추가 발견됨.
따라서, 구글은 부정발급에 대한 제재조치로 2016년 6월 1일부터 발급된 모든 시만텍 인증서에 인증서 투명성 정보(Certificate Transparency) 기능을 넣을 것을 강제하였으며(Symantec 외 다른 CA 기관들은 오직 EV 인증서에 한 해 CT 기능을 제공하고 있음), 더 이상 구글의 제품에서 시만텍의 “Class 3 Public Primary CA” 최상위 인증서를 신뢰하지 않기로 함.
[2차 부정 발급]
2010년 1월부터 2017년 1월까지, 시만텍의 파트너 RA인 한국전자인증은 RA로서 보유한 인증서 발급권한을 사용하여 불명확한 웹사이트 도메인(example.com, testexample.com, test1.com 등)에 대해 시만텍 SSL 인증서 127개를 비정상적인 절차로 부정 발급 함.
본 부정발급을 허용한 시만텍은 사건 수습을 위해 모든 인증서에 대한 인증심사 재검수를 진행해야 했으며, 2017년 2월 12일, 시만텍은 결국 ‘Partner RA Program’을 해지하기로 결정하여 한국전자인증 및 모든 시만텍 RA들은 RA 권한을 해지 당함.
추가 조사 결과, 이외에 약 3만개가 넘는 인증서가 부적절하게 발급된 것으로 확인됨. 구글과 모질라는 시만텍 SSL 인증서 발급 프로세스에 불만을 표시하여 더 이상 Chrome과 Firefox에서 시만텍 인증서를 신뢰하지 않겠다고 밝힘.

영향받는 인증서

Symantec (VeriSign)
Thawte
GeoTrust
GeoTrust Rapid

브라우저社 별 시만텍 SSL인증서 비신뢰 일정

Google Chrome
날짜 버전 변경 사항 준비 사항
2018-04-17 66 2016-06-01 이전에 발급된 모든 시만텍 인증서 비신뢰 2016-06-01 이전에 발급된 모든 시만텍 브랜드 인증서는 재발급을 해야함
2018-10-23 70 기존 Root로 발급된 모든 시만텍 인증서 비신뢰 모든 시만텍 브랜드 인증서는 신규 CA/브랜드로 발급·재발급 필요
Mozilla Firefox
날짜 버전 변경 사항 준비 사항
2018-01 58 Developer Console의 공지를 통해 사이트 운영자가 2016년 6월 1일 이전에 발급된 시만텍 인증서를 교체할 수 있도록 경고를 띄움 2016-06-01 이전에 발급된 모든 시만텍 브랜드 인증서는 재발급을 해야함
2018-05 60 사이트에 2016년 6월 1일 이전에 발급된 시만텍 루트의 인증서가 설치된 경우 "신뢰할 수 없는 연결" 에러 발생 2016-06-01 이전에 발급된 모든 시만텍 브랜드 인증서는 재발급을 해야함
2018-10 63 모든 시만텍 루트 인증서 비신뢰 모든 시만텍 브랜드 인증서는 신규 CA/브랜드로 발급·재발급 필요
※ Apple Safari, MS Edge 등 기타 브라우저사들은 아직 공식일정을 내놓지 않았으나, 구글/모질라와 비슷한 일정으로 대응하리라 전망됩니다.
※ 본 일정 및 내용은 공개 된 데이터를 기반으로 하며, Symantec 또는 Google에서 변경될 수 있습니다.
※ 아이네트호스팅에서는 시만텍 인증서 비신뢰 이슈와 관련해
다음의 대체 인증서들을 제안해드리오니 참고하시어 본 이슈에 대비하시기 바랍니다.

GlobalSign유럽 시장 1위, 디지털 인증서 시장에서 가장 경험이 풍부하고 높은 능력을 갖춘 인력들로 구성

시만텍 인증서 상품명 대체 상품(Globalsign)
• Symantec(Verisign) Secure / Global EV
• Thawte EV
• GeoTrust EV
• Globalsign EV
• Symantec(Verisign) Secure / Global
• Thawte Premium SSL
• Geotrust True Business SSL
• Globalsign Organization
• Thawte WildCard
• Geotrust True Business WildCard
• GlobalSign Organization WildCard
• Thawte SSL
• Geotrust Premium SSL
• GlobalSign Domain
• Geotrust Rapid • GlobalSign Alpha SSL
• Rapid WildCard • GlobalSign Alpha WildCard

Comodo전 세계에 지사를 가진 루트키 보유 세계 2위 업체

시만텍 인증서 상품명 대체 상품(Comodo)
• Symantec(Verisign) Secure / Global EV
• Thawte EV
• GeoTrust EV
• Comodo Trust
• Comodo EV
• Symantec(Verisign) Secure / Global
• Thawte Premium SSL
• Geotrust True Business SSL
• Comodo SGC
• Thawte WildCard
• Geotrust True Business WildCard
• Comodo Basic Wildcard
• Comodo SGC Wildcard
• Thawte SSL
• Geotrust Premium SSL
• Comodo Trust
• Geotrust Rapid • Comodo Basic
• Rapid WildCard • Comodo Basic Wildcard

참고 자료

Symantec 매각 관련 보도 자료
Symantec 단계적 오류 뉴스 기사 [구글, 시만텍 계열 모든 SSL 인증서 신뢰하지 않기로 결정]
Symantec 단계적 오류 뉴스 기사 [시만텍, 웹 인증서 사업부문 사모투자사에 매각]

본문

아이네트호스팅

본문 바로가기

주메뉴

SSL 인증서는 개인 정보 유출 방지, 사이트 위조 및 데이터 변조를 방지합니다. SSL 보안 서버 인증서 의무화 시행, 2012년 8월 18일부터 보안 서버 인증서 구축이 의무화 되었으며, 위반 시 최대 3,000만원의 벌금이 부과

왼편 메뉴

호스팅
상품 구성
도움말
표준형
상품 구성
도움말
상품 구성
상품 특징
부가 서비스
상품 구성
관련 법령
유지보수
  • 24시간 기술지원센터
    24시간 기술지원 : Tel. 1566-6757, Fax. 02-3472-8352, Mail. support@inet.co.kr
  • 서비스 문의
    서비스 문의 및 신청 : Tel. 02-2103-7600, Fax. 02-3472-8350, Mail. sale@inet.co.kr
  • PC 원격 지원
  • 결제 계좌 정보
    484201-01-108410

    (주) 아이네트호스팅
  • 네임 서버 정보
    ns.gihc.net
    203.235.122.164
    ns2.gihc.net
    210.116.98.164
    ns3.gihc.net
    121.254.196.150
  • SSL 인증서
  • 유지보수
  • 모바일 웹 제작
  • 상품 개요
  • 상품 구성
  • 설치 안내
  • 웹 페이지 암호화 적용
  • 보안 인증 마크 적용
  • 관련 법령
  
SHA-2 알고리즘 지원
베리사인   현재 전 세계에서 가장 널리 알려진 이름
VeriSign Secure Server
책임보증 $1,500,000
인증 기관 CA
Verisign
제품 분류
Single Domain
암호화 성능
40 ~ 256 Bit
암호화 강도
2,048 Bit
인증 체계
3단계 Root - Chain
발급 기간
3일
설치비
10,000원
(설치대행 선택가능)
소스 수정
100,000원
(소스수정 선택가능)
 
(VAT 별도)

VeriSign Global Server

책임보증 $1,500,000
인증 기관 CA
Verisign
제품 분류
Single Domain
암호화 성능
128 ~ 256 Bit
암호화 강도
2,048 Bit
인증 체계
3단계 Root - Chain
발급 기간
3일
설치비
10,000원
(설치대행 선택가능)
소스 수정
100,000원
(소스수정 선택가능)
 
(VAT 별도)

제품설명

베리사인의 인증서비스는 글로벌 보안회사인 시만텍과 (NASDAQ:SYMC)의 인수합병으로
더욱 강력한 서비스를 제공합니다. 현재 전 세계에서 가장 널리 알려진 이름입니다.
Verisign

관련서류

1. 사업자등록증 사본(영문)
2. 전화번호등록증명원
http://114.co.kr 회사검색 화면 캡처 / 등록된 대표번호로 전화인증

하단 푸터