인증서의 기능은 크게 두가지다.
- 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버임을 보장한다( CA를 통해 인증 )
- Chrome과 같은 각 브루아저들에는 신뢰가능한 CA 리스트가 탑재되어 있다
- 만약, 리스트에 없는 CA에 의한 인증서의 경우, 브라우저에서 경고 메세지를 띄워 주기도 한다.
- SSL 통신에 사용할 공개키를 클라이언트에게 제공한
CA(Certificate authority)
인증서의 역할은 클라이언트가 접속한 서버가 클라이언트가 의도한 서버가 맞는지를 보장하는 역할을 한다.
이 역할을 하는 민간기업들이 있는데 이런 기업들을 CA(Certificate authority) 혹은 Root Certificate 라고 부른다.
CA는 아무 기업이나 할 수 있는 것이 아니고 신뢰성이 엄격하게 공인된 기업들만이 참여할 수 있다
사설 인증기관
개발이나 사적인 목적을 위해서 SSL의 암호화 기능을 이용하려한다면 자신이 직접 CA의 역할을 할 수도 있다.
물론 이것은 공인된 인증서가 아니기 때문에 이러한 사설 CA의 인증서를 이용하는 경우 브라우저는 아래와 같은 경고를
출력한다.
공인된 CA가 제공하는 인증서를 사용한다면 브라우저의 주소창이 아래와 비슷한 모양을 보여줄 것이다.
SSL 인증서의 내용
SSL 인증서에는 다음과 같은 정보가 포함되어 있다.
- 서비스의 정보 (인증서를 발급한 CA, 서비스의 도메인 등등)
- 서버 측 공개키 (공개키의 내용, 공개키의 암호화 방법)
(아래 부분은 처음에는 잘 이해가 되지 않을 것이다, 게시물 494번을 읽으면 이해가 될 것이다)
인증서의 내용은 위와 같이 크게 2가지로 구분할 수 있다. 1번은 클라이언트가 접속한 서버가 클라이언트가 의도한 서버가 맞는지에 대한 내용을 담고 있고, 2번은 서버와 통신을 할 때 사용할 공개키와 그 공개키의 암호화 방법들의 정보를 담고 있다. 서비스의 도메인, 공개키와 같은 정보는 서비스가 CA로부터 인증서를 구입할 때 제출해야 한다.
위와 같은 내용은 CA에 의해서 암호화 된다. 이 때 사용하는 암호화 기법이 공개키 방식이다. CA는 자신의 CA 비공개키를 이용해서 서버가 제출한 인증서를 암호화하는 것이다. CA의 비공개키는 절대로 유출되어서는 안된다. 이것이 노출되는 바람에 디지노타라는 회사는 파산된 사례도 있다.
CA를 브라우저는 알고 있다
인증서를 이해하는데 꼭 알고 있어야 하는 것이 CA의 리스트다. 브라우저는 내부적으로 CA의 리스트를 미리 파악하고 있다. 이 말은 브라우저의 소스코드 안에 CA의 리스트가 들어있다는 것이다. 브라우저가 미리 파악하고 있는 CA의 리스트에 포함되어야만 공인된 CA가 될 수 있는 것이다. CA의 리스트와 함께 각 CA의 공개키를 브라우저는 이미 알고 있다.
'CS 과목(CS科目) > 네트워크(ネットワーク)' 카테고리의 다른 글
| SSL Protocol의 요약본 (0) | 2023.06.30 |
|---|---|
| SSL 인증서의 서비스 보증 방법 (0) | 2023.06.30 |
| SSL 디지털 인증서(Feat. 대칭키, 공개키....) (0) | 2023.06.30 |
| 1. HTTP vs HPPT[S] (0) | 2023.06.30 |
| Socket(소켓), Port(포트) 는 TCP/IP Stack 발명 과정에서 탄생 (2) | 2023.04.27 |
