SecureSign 에서 발급 진행되는 SSL 인증서는, 공용 인터넷 환경에서 작동하는 국제 공인 글로벌 SSL 인증서 입니다. 상용(유료) 인증서를 구매하면 또는 특정 브랜드를 발급 받으면, '사설 환경에서 적용 문제가 발생하지 않거나 또는 해결되거나' 하지는 않습니다.

SSL 인증서는 기본적으로 공용 인터넷 환경을 기준으로 합니다. 사설/폐쇄 환경를 고려하지 않습니다. 그럼에도, 폐쇄 환경에 적용하고자 한다면, 공용 환경과 동일하게 SSL 작동이 가능하도록, 고객사 스스로 구현/해결해야 합니다. (SecureSign 에서 기술적 구현 방안 지원 불가)

서버/클라이언트에서 SSL 작동시, 클라이언트에서는 서버 인증서의 발급자/유효성 등을 기본적으로 먼저 검증/확인 하게 되어 있습니다. 그런 검증에 필요한 정보는, 인증서 파일 자체(속성값)에 포함 제공됩니다.

글로벌 CA SSL 인증서를 적용한 경우에는, 해외에 있는 인증기관 CA 인증 서버에 접근하여, 웹서버에 적용된 SSL 인증서가 유효한지 확인(절대 필수 작동) 을 합니다. (국내에서 판매되는 WebTrust 인가 SSL 의 CA 는 모두 해외에 있음)

그렇기 때문에 폐쇄망이라고 하더라도 직접 또는 우회 상관없이, 폐쇄망에 있는 클라이언트가 해외 인증기관 CA 서버에 인터넷 Outbound TCP 80,443 접근이 필수로 가능해야 합니다.

폐쇄망의 경우 대부분 비공개 네트워크 목적이므로, 꼭 SSL 적용이 필요하다면, '사설 인증서' 적용이 더 적합할수 있습니다.



▷ 상용 SSL 인증서는 폐쇄망도 지원하나요? 

상용 SSL 인증서를 적용하면 접근 차단된것도 가능하게 해준다? 해결해준다? 라는건 존재하지 않습니다. SSL 인증서와 상관없이, 단순히 네트워크를 폐쇄적인 구성으로 해놓았기 때문이며, 연결 일부(또는 전체)를 허용하면 해결되는 단순한 문제일 뿐입니다.


▷ 인터넷 연결이 차단되면 어떤 문제가 발생하나요?

웹브라우져 또는 시스템등의 클라이언트에서 SSL 인증서를 발급해준 CA 서버에 접근하지 못하면, 웹서버에 적용된 SSL 의 유효성을 확인하지 못하기 때문에, 경고창,경고로그,에러로그 등이 발생하거나 웹브라우저 종류에 따라서는 https:// 접속이 완전히 차단될수도 있습니다.


▷ 혹시 인터넷 허용 안하고도 어떻게 방법이 없나요?

고객사의 네트워크 기술 담당자가, 내부 네트워크 환경에서 특별한 방안을 직접 찾아내 구현하지 않는 이상, 인터넷이 완벽하게 차단된 폐쇄 환경에서는 일반적으로 가능하지 않습니다.


▷ 제한적으로 허용하는 방법은 없나요?

SSL 인증서 파일 자체에는 CA 의 'CRL,OCSP,CPS 등의 URL 경로' 정보가 포함되어 있습니다. 인증서에 포함되어 있는 URL(도메인) 에 대한 접근만 제한적으로 허용해 주면 됩니다.

(SSL 적용된 웹페이지 접속 후, 웹브라우저에서 인증서 상세보기 URL 확인 가능)
(방화벽/보안시스템에서 CA 접근이 가능하도록 Outbound 접근 허용)
(인증기관 CA 정책에 의해서, IP 주소는 변경될수 있으므로, 가급적 도메인/URL 기준 허용 권장)






참조)

폐쇄(보안, 인트라넷, 사설)망에서 공인 SSL 인증서 유효 확인 오류 
https://www.sslcert.co.kr/guides/kb/14