아이디저장
 
   
Home > Give & Take > CONCERT Hot Line
한국침해사고대응팀협의회
  웹 브라우저 암호 고도화 정책에 따른 주의 권고
  사무국   관리자   2016-01-06   
SSL 보안인증서와 코드서명 인증서에 적용되는 암호 알고리즘 중 SHA-1에 대한 안내입니다.

보통 유효기간 1년으로 되어있는 인증서를 많이 이용하는 관계로 인증서 발급기관에서는 작년 연말까지 유효기간 만료일이 2016.12.31 이전으로 되어있는 SHA-1 인증서를 다수 발급한 바 있습니다.

당초 NIST의 계획상으로는 2016년 12월까지는 SHA-1 알고리즘을 적용한 인증서를 정상적으로 사용할 수 있었으나, 브라우저 제작사들이 SHA-1 인증서의 사용기한을 2016년 6월로 제한하는 움직임을 보이고 있습니다.

회원사에서는 웹서버용 SSL인증서와 코드사인용 인증서의 알고리즘 방식을 확인하셔서
SHA-1인증서를 사용하고 계시는 경우 미리 SHA-2 인증서로 교체발급받으시기 바랍니다.
아울러 SHA-2 인증서는 WindowsXP SP3 이상, OS X 10.6 이상에서만 사용가능하오니 사용자에 대한 충분한 안내도 부탁드립니다.

지난 12월에 있었던 모 포털사이트 웹 메일 장애는
최상위인증기관(Root CA)에서 SHA-1인증서의 유효성을 인증해주는 CA를 사전예고 없이 해지하여 해당 CA아래에 있던 인증서들의 효력을 검증받지 못해 발생한 문제로
해당 인증서들을 SHA-2 (SHA-256)으로 재발급받아 해결한 바 있습니다.

SHA-1 인증서를 계속하여 사용하시는 경우 2016년 6월에 유사한 장애를 겪으실 수 있으니
미리 대처하여 주시기 바랍니다.

현재 사용하시는 SSL인증서의 암호알고리즘을 확인하는 방법은 다음과 같습니다.

웹페이지에 https로 접속 -> 마우스 오른쪽 클릭 -> 속성 -> 인증서 -> 자세히 -> 서명알고리즘
SHA-1 => 전환대상
SHA-256 => 전환완료

자세한 내용은 아래 KrCERT공지를 참고하여 주시기 바랍니다.

===========================================

개요

  • MS와 Google 등 美 NIST의 권고에 따라 ‘16년 6월부터 SSL 인증서 및 코드서명 인증서 등 암호를 SHA-1에서 SHA-2로 상향예정(’16년 6월)

설명

  • 현행 SHA-1(160비트) 기반 웹서비스 인증서 암호 체계를 ‘16년 6월부터 SHA-2(224~512비트) 기반 인증서 체계로 고도화(’16년 5월까지 SHA-1 체계 병행 허용)
  • ‘16년 6월부터 기존 SHA-1 기반 인증서를 사용할 수 없기 때문에, 웹사이트(포털, 게임, 상거래 등) 운영자가 해당 웹서비스 인증서(SSL, 코드서명)를 신규 및 재발급, 갱신하지 않을 경우 웹사이트 접속 오류 및 실행파일 설치 오류(액티브X 등) 발생

영향받는 플랫폼 및 브라우저

플랫폼 브라우저명 SHA-2 알고리즘 미지원
플랫폼 브라우저
PC Internet Explorer Windows(XP SP2 이하) 버전 6 이하
Chrome Windows(XP SP2 이하) 버전 39 이하
FireFox Windows(XP SP2 이하) 버전 1.5 이하
Safari OS X(10.5 이하) 버전 3 이하
Opera 해당 없음 버전 6 이하
Mobile Android Browser Android(2.3이하)
iOS Safari iOS 3.0 이하
Windows Mobile Internet Explorer `해당 없음

해결방안

  • (웹사이트 운영자) 웹사이트의 SSL 인증서 및 코드서명 인증서를 SHA-2 기반으로 신규 및 재발급, 갱신 필요(‘16년 5월까지)
  • (인터넷 이용자) PC·스마트폰의 운영체제 및 브라우저를 SHA-2 알고리즘이 지원 가능한 버전 이상으로 업그레이드(윈도우XP 서비스팩 3이상, 안드로이드 2.3이상, iOS 3.0 이상) 필수

기타 문의사항

  • 한국인터넷진흥원 전자인증산업팀 김기문 선임(☎ 02-405-5348)

[참고사이트]
[1] http://en.wikipedia.org/wiki/Transport_Layer_Security#cite_note-chromeissue490240-85
[2] http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
[3] http://googleonlinesecurity.blogspot.ca/2014/09/gradually-sunsetting-sha-1.html

  CONCERT Hot Line 게시판 이용안내 사무국 2013-04-10
401   국내 은행대상 DDoS 공격 협박 사무국 2017-06-21
400   3/28 中 홍커연맹의 한국 웹사이트 공격예고에 대… 사무국 2017-03-22
399   개인정보보호법 해설서&개인정보의 안정성확보조… 사무국 2017-01-05
398   웹 브라우저 암호 고도화 정책에 따른 주의 권고 사무국 2016-01-06
397   MS Font 드라이버 원격코드 실행 신규 취약점 보… 사무국 2015-07-21
396   [KrCERT] HTTP.sys 취약점(CVE-2015-1635) 보안조… 사무국 2015-04-16
395   정보보안 기사/산업기사 저자무료특별강의 wjcio 2015-03-11
394   윈도서버 2003 보안 서비스 지원 종료 관련 보안 … 사무국 2015-03-09
393   [KrCERT]리눅스 Ghost 취약점 보안 업데이트 권고 사무국 2015-01-29
392   Gnu bash 취약점(ShellShock) 조치 현황 조사 요… 사무국 2014-10-01
391   [KrCERT]OpenSSL 다중 취약점 보안업데이트 권고… 사무국 2014-06-10
390   [KISA/금융보안연구원]OpenSSL 다중취약점 보안업… 사무국 2014-06-09
389   [KrCERT/CC]GoZeus, CryptoLocker 악성코드 피해… 사무국 2014-06-03
388   MS IE 제로데이 취약점 조치방법 공유 사무국 2014-04-30
387   KISA, OpenSSL의 취약점 악용한 공격 주의 당부 사무국 2014-04-10
   1 2 3 4 5 6 7 8 9 10    
 
개인정보취급방침