Intermediate-Chain SSL 중개/체인 인증서 적용 상태 점검 확인

1. SSL 인증서 적용 상세 테스트

여러 SSL 적용 분석 웹사이트 중에, 상세한 점검/확인 리포트를 제공하는 https://www.ssllabs.com/ssltest/ 사이트(추천)를 권장하며, 검증 분석 결과에 따라 SSL 을 적용한 웹사이트의 권장 사항이 확인되는 경우 서버 설정값을 조정해 보시기 바랍니다. (443 포트만 점검 가능, 특정 포트 지원 불가) (SSLLabs 사용법 설명/안내 불가)

2. 결과 리포트 에서 Additional Certificates 항목 확인

SSLlabs 점검 결과 리포트에서, [Additional Certificates] 항목 또는 [Certification Paths] 의 인증 경로를 확인합니다. 발급 완료시 첨부된 "체인 인증서(발급에 포함된 모든 체인)" 가 결과에 포함되어 있어야 합니다.

Chain issues - Incomplete 가 확인될 경우, 이는 중개(체인) 인증서를 정상적으로 확인하지 못하였다는 의미입니다. 이럴 경우에는 체인증서가 적용이 안되어 있거나, 또는 체인 인증서를 적용 했음에도 표시가 된다면 잘못 설정된 경우 입니다. (SSLLabs 정책에 따라 검사/표시 방법이 달라질수 있음)

SSL 인증 경로에서 체인(중개) 인증서는 클라이언트(웹브라우져 등)에 존재하지 않기 때문에, 웹서버에서 명시적으로 클라이언트에 체인인증서를 전송해 주어야 합니다. 그래야먄 SSL 인증서 인증 단계가 확인되어 정상(유효) 인증서로 확인되며, 그렇지 못하면 SSL 인증서 관련 경고창이 발생하게 됩니다.

[점검이 필요한 경우]

[정상 확인의 경우]

[누락된 체인 예제]

3. 기타

SSLlabs 점검 리포트의 [Configuration - Protocols / Cipher Suites] 항목에서 즉시 조치 필요한 부분은, 웹서버에서 설정 수정 또는 버전 업그레이드 조치를 하는 것이 권장됩니다. 리포트의 각 상세 항목에 대한 부분은, 인터넷에서 기술 자료를 참고하여 확인해 보시기 바랍니다. (SSLLabs 결과 리포트 설명/안내 불가)

FAQ

인증서 발급시 참고사항

* 인증서 신청서 작성시 'CSR자동생성' 을 이용하는 경우 ".pfx / .jks / .key" 파일이 제공됩니다.
* 제공되는 ".pfx / .jks" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.
* 발급 받은 zip 파일에는, 루트/체인 단계에 대해서 설명된 PDF 파일이 포함 되어 있습니다. (확인필수)


중개(체인) 인증서 란?

루트(Root) 인증서와 발급 받는 서버인증서 사이에 존재하는 인증서로, 루트인증서와 서버인증서 사이를 중개,연결해 준다는 의미로 사용됩니다. 또한 실제 서버인증서의 발급자이기도 합니다. SSL 인증서 초창기에는 루트인증서에서 바로 서버인증서를 발급하였지만, 기술 환경 변화에 적절히 대응하기 위해서 거의 대부분의 글로벌 SSL 인증서 CA 는 체인인증서 형태의 발급 체계를 갖고 있습니다.

적용이 필요한 이유는?

최신 웹브라우져 및 디바이스 이더라도, 최신 루트인증서와 일부 체인인증서까지만 보유하고 있어서, 중간 체인 정보가 없으면 클라이언트 웹브라우져에서는 발급된 인증서의 발급자(체인)를 확인하지 못합니다. 발급자를 확인하지 못하면 경고창이 발생하거나 웹페이지에 접속하지 못할수도 있습니다. 그래서 이를 방지하기 위해서, 서버쪽에서 명시적으로 현재 서버인증서의 발급자가 누구이고 어떤 발급 단계를 통하였는지 알려주는 설정을 하는 것입니다.

어떻게 설치 하는 건가요?

설치 방법이 특정하게 따로 있는 것은 아닙니다. 각 서버별 설치 가이드 내용을 보면, 각 서버별 인증서 파일 지정하는 부분이 있고 그 항목중에 체인인증서 지정하는 부분이 있습니다. 단지 그 부분에 지정만 정확하게 하면 됩니다. 귀찮다고 또는 이부분은 지정 안해도 되겠지? 라고 해서 간혹 '개인키/서버인증서' 만 지정하고 '루트인증서/체인인증서' 설정을 안하는 경우가 있는데, 모두 설정해야 합니다.

컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.