.jpg)
.gif)
여기 저기 전파해야 할 소식이다. 렛츠인크립트의 인증서 하나가 만료되었으니 업그레이드를 해야 한다는 것이다. 렛츠인크립트가 무료로 인증서를 발급하는 바람에 인증서에 대한 필요가 충족되고 있기는 하지만 반대로 인증서에 대해 무심해지는 사람들도 생기고 있다. 그럴 땐 업데이트 소식을 빨리 전파하는 것이 중요하다.
[보안뉴스 문가용 기자] 무료 인증서를 제공하는 인증 기관(CA)인 렛츠인크립트(Let’s Encrypt)에서 제공하는 최상위 인증서가 종료됨에 따라 많은 웹사이트와 시스템에서 문제가 발생할 것으로 예상된다.
[이미지 = utoimage]
렛츠인크립트는 비영리 단체인 인터넷보안연구그룹(Internet Security Research Group, ISRG)에 소속된 산하 조직으로, HTTPS 인증서를 대량으로 제공하는 기관이기도 하다. 지난 2월 10억 번째 인증서 발급이라는 대기록을 이뤄낸 바 있다. 현재까지 1억 9200만 웹사이트가 렛츠인크립트의 인증서를 활용하는 중이다.
렛츠인크립트의 인증서 중 IdenTrust DST Root CA X3가 지난 9월 30일에 만료됐다. 즉 이 인증서와, 이 인증서를 기반으로 하고 있는 웹사이트들이나 OS, 시스템이나 플랫폼 등은 더 이상 ‘신뢰할 만한 요소’로 인정받지 못한다는 뜻이다.
“최고 인증서 중 하나가 만료가 된다면, 그 인증서에 기반을 둔 다른 인증서들가지 같이 영향을 받습니다. 소프트웨어 디펜던시처럼 뿌리에 얽힌 뭔가가 무너지면 그 위에 있는 다른 것들도 하나 둘 이상 증상을 나타낸다는 것이죠.” 시큐리티헤더(Security Header)의 창립자인 스콧 헬름(Scott Helme)의 설명이다.
이미 지난 5월에도 AddTrust External CA Root이 만료됐을 때 수많은 조직들이 영향을 받은 바 있다. 당시 로쿠(Roku), 스트라이프(Stripe) 등과 같은 조직들의 웹사이트들에서 삐걱거리는 일들이 신고 됐다. 헬름은 “애스트러스트(AddTrust)와 렛츠인크립트는 생태계의 규모 차이가 어마어마하다”고 설명하며, “따라서 이번 렛츠인크립트 인증서의 만료는 더 큰 후폭풍을 가져올 것”이라고 짚었다.
사실 최상위 인증서가 만료된다고 해서 무조건 커다란 문제가 되는 건 아니다. 인증서는 항상 일정 기간이 지나면 만료되는 것이고, 그러므로 새 인증서로 대체시키는 건 흔히 일어나는 일이다. 그리고 그 과정 모두가 투명하게 진행된다. 그렇다면 렛츠인크립트 인증서의 만료는 어떤 점에서 문제가 되는 걸까?
“렛츠인크립트를 무료로 가져다 쓴 클라이언트들이 이 종료일에 대해서 잘 모르는 경우가 대다수이기 때문”이라고 헬름은 설명한다. “무료이고 편안하니까 인증서에 대한 이해도 없이 렛츠인크립트를 가져다 쓴 사람들이 렛츠인크립트 고객들 중에는 많습니다. 그리고는 인증서에 대해 잊어버리는 거죠. 아마 이번 만료에 대해서도 모르고 있고, 따라서 새 것을 다운로드 받지 않은 사람들이 대다수일 겁니다.”
헬름은 자신의 블로그를 통해 IdenTrust DST Root CA X3 만료에 영향을 받을 클라이언트의 목록을 게시했다. 그의 블로그 주소는 이것(https://scotthelme.co.uk/lets-encrypt-old-root-expiration/)이며 게시글의 아래쪽에 클라이언트들의 목록을 찾을 수 있을 것이다. 맥OS 10.12.1 이하 버전, 윈도 XP 서비스팩 3 이하 버전, iOS 10 이하 버전, 오픈SSL 1.0.2 이하 버전, 파이어폭스 50 이하 버전 등이 여기에 포함된다.
그 외에도 팔로알토(Palo Alto), 블루코트(Bluecoat), 시스코 엄브렐라(Cisco Umbrella), 구글 클라우드 모니터링(Google Cloud Monitoring), 오스제로(Auto0), 쇼피파이(Shopify), 퀵북스(QuickBooks), 포티넷(Fortinet) 등과 같은 조직들도 영향이 있을 수 있다고 헬름은 강조했다.
렛츠인크립트 측은 공식 트위터 채널을 통해 “오류가 발생하는 경우 커뮤니티 포럼에 마련된 픽스를 활용하라”고 사용자들에게 알리고 있다. 또한 헬름의 우려와 달리 “평소보다 많은 사람들이 현재 새 버전을 다운로드 하고 있다”고 하며 “인증서 다운로드가 원활하지 않을 수 있다”고도 밝혔다.
3줄 요약
1. 무료 인증서 발급 기관인 렛츠인크립트의 인증서 하나가 9월 30일에 만료됨.
2. 하지만 렛츠인크립트 인증서는 무료이기 때문에 사람들이 업데이트에 관심이 없음.
3. 이 때문에 꽤나 많은 조직과 시스템, 플랫폼과 웹사이트에서 이상 증상이 나타날 것으로 우려됨.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 무료 인증서를 제공하는 인증 기관(CA)인 렛츠인크립트(Let’s Encrypt)에서 제공하는 최상위 인증서가 종료됨에 따라 많은 웹사이트와 시스템에서 문제가 발생할 것으로 예상된다.
[이미지 = utoimage]
렛츠인크립트는 비영리 단체인 인터넷보안연구그룹(Internet Security Research Group, ISRG)에 소속된 산하 조직으로, HTTPS 인증서를 대량으로 제공하는 기관이기도 하다. 지난 2월 10억 번째 인증서 발급이라는 대기록을 이뤄낸 바 있다. 현재까지 1억 9200만 웹사이트가 렛츠인크립트의 인증서를 활용하는 중이다.
렛츠인크립트의 인증서 중 IdenTrust DST Root CA X3가 지난 9월 30일에 만료됐다. 즉 이 인증서와, 이 인증서를 기반으로 하고 있는 웹사이트들이나 OS, 시스템이나 플랫폼 등은 더 이상 ‘신뢰할 만한 요소’로 인정받지 못한다는 뜻이다.
“최고 인증서 중 하나가 만료가 된다면, 그 인증서에 기반을 둔 다른 인증서들가지 같이 영향을 받습니다. 소프트웨어 디펜던시처럼 뿌리에 얽힌 뭔가가 무너지면 그 위에 있는 다른 것들도 하나 둘 이상 증상을 나타낸다는 것이죠.” 시큐리티헤더(Security Header)의 창립자인 스콧 헬름(Scott Helme)의 설명이다.
이미 지난 5월에도 AddTrust External CA Root이 만료됐을 때 수많은 조직들이 영향을 받은 바 있다. 당시 로쿠(Roku), 스트라이프(Stripe) 등과 같은 조직들의 웹사이트들에서 삐걱거리는 일들이 신고 됐다. 헬름은 “애스트러스트(AddTrust)와 렛츠인크립트는 생태계의 규모 차이가 어마어마하다”고 설명하며, “따라서 이번 렛츠인크립트 인증서의 만료는 더 큰 후폭풍을 가져올 것”이라고 짚었다.
사실 최상위 인증서가 만료된다고 해서 무조건 커다란 문제가 되는 건 아니다. 인증서는 항상 일정 기간이 지나면 만료되는 것이고, 그러므로 새 인증서로 대체시키는 건 흔히 일어나는 일이다. 그리고 그 과정 모두가 투명하게 진행된다. 그렇다면 렛츠인크립트 인증서의 만료는 어떤 점에서 문제가 되는 걸까?
“렛츠인크립트를 무료로 가져다 쓴 클라이언트들이 이 종료일에 대해서 잘 모르는 경우가 대다수이기 때문”이라고 헬름은 설명한다. “무료이고 편안하니까 인증서에 대한 이해도 없이 렛츠인크립트를 가져다 쓴 사람들이 렛츠인크립트 고객들 중에는 많습니다. 그리고는 인증서에 대해 잊어버리는 거죠. 아마 이번 만료에 대해서도 모르고 있고, 따라서 새 것을 다운로드 받지 않은 사람들이 대다수일 겁니다.”
헬름은 자신의 블로그를 통해 IdenTrust DST Root CA X3 만료에 영향을 받을 클라이언트의 목록을 게시했다. 그의 블로그 주소는 이것(https://scotthelme.co.uk/lets-encrypt-old-root-expiration/)이며 게시글의 아래쪽에 클라이언트들의 목록을 찾을 수 있을 것이다. 맥OS 10.12.1 이하 버전, 윈도 XP 서비스팩 3 이하 버전, iOS 10 이하 버전, 오픈SSL 1.0.2 이하 버전, 파이어폭스 50 이하 버전 등이 여기에 포함된다.
그 외에도 팔로알토(Palo Alto), 블루코트(Bluecoat), 시스코 엄브렐라(Cisco Umbrella), 구글 클라우드 모니터링(Google Cloud Monitoring), 오스제로(Auto0), 쇼피파이(Shopify), 퀵북스(QuickBooks), 포티넷(Fortinet) 등과 같은 조직들도 영향이 있을 수 있다고 헬름은 강조했다.
렛츠인크립트 측은 공식 트위터 채널을 통해 “오류가 발생하는 경우 커뮤니티 포럼에 마련된 픽스를 활용하라”고 사용자들에게 알리고 있다. 또한 헬름의 우려와 달리 “평소보다 많은 사람들이 현재 새 버전을 다운로드 하고 있다”고 하며 “인증서 다운로드가 원활하지 않을 수 있다”고도 밝혔다.
3줄 요약
1. 무료 인증서 발급 기관인 렛츠인크립트의 인증서 하나가 9월 30일에 만료됨.
2. 하지만 렛츠인크립트 인증서는 무료이기 때문에 사람들이 업데이트에 관심이 없음.
3. 이 때문에 꽤나 많은 조직과 시스템, 플랫폼과 웹사이트에서 이상 증상이 나타날 것으로 우려됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)