보안 인증서(및 가격) 이해

보안 인증서(및 가격) 이해

나는 일반적으로 자체 서명된 인증서를 사용했지만 이제는 최소한의 비용으로 적절한 인증서가 필요합니다.

실제로 "인증 기관"을 생성한다는 것은 makecert공개/개인 키 쌍을 생성하는 것을 의미하므로 이러한 "인증 기관"에서 공개/개인 키 쌍을 생성한다는 것은 실제로 두 번째 공개/개인 키 쌍을 생성하고 "인증 기관"에 속하는 개인 키를 사용하여 두 가지 모두에 서명합니다. 키가 서명되었으므로 누구나 키가 내가 만든 인증 기관에서 온 것인지 확인할 수 있습니다. 또는 Verisign이 나에게 키 쌍을 제공한 경우 자신의 개인 키 중 하나로 키에 서명하고 누구나 Verisign의 해당 공개 키를 사용하여 Verisign의 소스를 확인할 수 있습니다. 열쇠.

이 점을 감안할 때 Verisign이나 Godaddy가 연간 요금제에만 요금을 부과하는 이유를 이해할 수 없습니다. 제가 정말로 원하는 것은 개인 키 중 하나로 서명된 단일 공개/개인 키 쌍뿐인데 말이죠.

분명히 내가 뭔가를 오해하고 있는 것 같은데, 그게 뭐죠? Verisign은 공개/개인 키 쌍을 주기적으로 폐기하여 Verisign 서명 키 쌍이 "만료"되고 새 키 쌍이 필요하도록 합니까?

편집: 인증서에 내부 만료 날짜가 있고 다른 인증서에 서명하는 데 사용할 수 있는지 여부(예: 인증서로 저장된 다른 개인/공개 키 쌍에 서명)를 나타내는 내부 값도 유지한다는 것을 알게 되었습니다. 연간 구독 없이 인증/암호화에 사용할 수 있는 Verisign과 같은 사람이 서명한 비서명 인증서 몇 개(하나라도)를 얻을 수 없습니까?

답변1

나는 그들이 사업을 계속하기 위해 발급한 인증서에 만료 날짜를 입력했다고 추측합니다.

무료 인증 기관을 사용해 보고 싶다면 다음을 시도해 보세요.CA인증서또는스타트컴. 그러나 고객은 VeriSign과 같이 좀 더 "잘 알려진" 인증 기관 사용을 주장할 수도 있습니다.

답변2

좋은 암호화 방법의 일부는 키 관리이므로 인증서에는 만료 날짜가 있어야 합니다. 귀하의 개인 키는 현재 안전하지만 내일 일부 데이터 보안 위반으로 공개될 수 있습니다. 키를 오랫동안 사용할수록 결국 손상될 가능성이 높아집니다.

손상된 키를 지정하는 시간 제한이 없는 인증서가 존재하는 경우 누군가 손상된 키와 함께 해당 인증서를 사용하여 귀하인 것처럼 가장할 수 있습니다.영원히. 만료 메커니즘을 사용하면 인증서가 만료될 때까지만 이를 취소할 수 있습니다.

답변3

연간 수수료를 사용하면 초기 절차를 마친 후 언제든지 인증서를 재발급하고 업데이트할 수 있습니다. 구독이 만료되더라도 인증서는 자동으로 만료되지 않습니다. 예를 들어, 연간 구독을 하더라도 인증서 만료 기간은 2년입니다(그리고 인증서의 기반이 되는 루트 인증서는 10년 정도입니다). 이를 사용하여 자신의 인증서에 서명할 수 있으며 당시 유효한 인증서로 서명한 경우에는 인증서가 유효하다고 말하는 한 여전히 유효합니다. 내 경험상 브라우저 및 기타 SSL 클라이언트에서는 확장된 인증서 체인 유효성 검사가 거의 수행되지 않습니다.

인증 회사는 부분적으로 SSL 보안 개발을 따라잡도록 강제하기 위해(예: 512비트에서 2048로 또는 RSA 대신 EC로 이동) 부분적으로 인증서 중 하나가 유출될 경우 사용자와 다른 모든 사람을 보호하기 위해 인증서를 만료합니다. 또는 사라졌다고 생각한 지 오랜 후에 저장되고 크랙이 발생합니다. 부분적으로는 이름을 바꾸거나 사업을 중단하는 등의 경우에 자주 재검사하기 위한 것입니다. 그것은 그들의 신뢰 사슬의 일부입니다. 조기에 발견하면 즉시 CRL을 발급할 수 있지만 그렇지 않은 경우 기존 인증서는 추가 노력 없이 자연스럽게 만료됩니다.

그리고 그것은 수익 흐름이기도 합니다. 그것이 바로 비즈니스입니다.

자체 CA가 되고 싶다면 인증서 서명 인증서를 받아야 하며, 사용할 때 체인에 있는 모든 인증서를 함께 번들로 가져오는 몇 가지 문제에 대비해야 합니다.

답변4

서명 기관에 따라 검증은 상당히 광범위할 수 있습니다(따라서 기관에 비용이 많이 듭니다). 이로 인해 인증서 비용이 증가합니다. 일반적으로 인증서 비용은 검증 수준에 따라 달라집니다. 새로운 기술을 사용하면 주소 표시줄의 색상 알림을 통해 신뢰도를 어느 정도 표시할 수 있습니다.

인증 기관의 인증서는 일반적으로 약 10년마다 만료됩니다. 이 시간 중 일부는 브라우저의 인증서 캐시에 배포된 인증서를 가져오는 데 필요하므로 처음 1~2년 동안은 사용되지 않을 수 있습니다. 지난 1~2년 동안은 서명 키가 만료되기 전에 서명 키가 만료되므로 유용하지 않습니다.

키에 서명함으로써 인증 기관은 본질적으로 우리가 이 인증서의 소유자를 신뢰하므로 귀하도 신뢰할 수 있다고 말합니다. 정기적으로 이 신뢰를 확인해야 하므로 인증서가 만료되는 이유 중 하나입니다.

CRL이 제공되고 확인되면 서명 기관은 더 이상 키 소유자를 신뢰하지 않는다고 알릴 수 있습니다. 이는 다양한 이유로 발생할 수 있습니다. 도난당한 키, 부적절하게 발급된 키, 더 이상 사용되지 않는 키 또는 기타 이유. 인증서 만료를 사용하여 CRL 데이터베이스의 크기를 줄일 수 있습니다.

일부 서명 기관은 다년 인증서를 발급합니다. 이는 갱신 인증서에만 사용할 수 있습니다.

인증서 사용을 시작하면 관련 신뢰 관계를 유지하는 데 전념하게 됩니다. 여기에는 정기적으로 업데이트 인증서 배포가 포함됩니다.

관련 정보