Intermediate-Chain SSL 중개/체인 인증서 적용 상태 점검 확인
1. SSL 인증서 적용 상세 테스트
여러 SSL 적용 분석 웹사이트 중에, 상세한 점검/확인 리포트를 제공하는 https://www.ssllabs.com/ssltest/ 사이트(추천)를 권장하며, 검증 분석 결과에 따라 SSL 을 적용한 웹사이트의 권장 사항이 확인되는 경우 서버 설정값을 조정해 보시기 바랍니다. (443 포트만 점검 가능, 특정 포트 지원 불가) (SSLLabs 사용법 설명/안내 불가)
2. 결과 리포트 에서 Additional Certificates 항목 확인
SSLlabs 점검 결과 리포트에서, [Additional Certificates] 항목 또는 [Certification Paths] 의 인증 경로를 확인합니다. 발급 완료시 zip 첨부된 "루트/체인 PDF 설명서 경로" 가 결과중에 포함되어 있어야 합니다.
누락된 경우는, 웹서버에서 루트/체인 설정을 누락하였거나 또는 설정하였으나 웹서버에서 출력하지 않기 때문입니다. 서버관리자의 점검/확인/조치가 필요한 사항입니다. (웹서버 앞단에 어떤 장비에서도 SSL 설정이 있으면, 거기에도 같이 해줘야 할수도 있음)
누락된 경우는, 웹서버에서 루트/체인 설정을 누락하였거나 또는 설정하였으나 웹서버에서 출력하지 않기 때문입니다. 서버관리자의 점검/확인/조치가 필요한 사항입니다. (웹서버 앞단에 어떤 장비에서도 SSL 설정이 있으면, 거기에도 같이 해줘야 할수도 있음)
[웹서버에서 출력이 누락된 예제]
3. 기타
SSLlabs 점검 리포트의 [Configuration - Protocols / Cipher Suites] 항목에서 즉시 조치 필요한 부분은, 웹서버에서 설정 수정 또는 버전 업그레이드 조치를 하는 것이 권장됩니다. 리포트의 각 상세 항목에 대한 부분은, 인터넷에서 기술 자료를 참고하여 확인해 보시기 바랍니다. (SSLLabs 결과 리포트 설명/안내 불가)
FAQ
인증서 발급시 참고사항
* 인증서 신청서 작성시 'CSR자동생성' 을 이용하는 경우 ".pfx / .jks / .key" 파일이 제공됩니다.
* 제공되는 ".pfx / .jks" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.
* 발급 받은 zip 파일에는, 루트/체인 단계에 대해서 설명된 PDF 파일이 포함 되어 있습니다. (확인필수)
* 제공되는 ".pfx / .jks" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.
* 발급 받은 zip 파일에는, 루트/체인 단계에 대해서 설명된 PDF 파일이 포함 되어 있습니다. (확인필수)
중개(체인) 인증서 란?
루트(Root) 인증서와 발급 받는 서버인증서 사이에 존재하는 인증서로, 루트인증서와 서버인증서 사이를 중개,연결해 준다는 의미로 사용됩니다. 또한 실제 서버인증서의 발급자이기도 합니다. SSL 인증서 초창기에는 루트인증서에서 바로 서버인증서를 발급하였지만, 기술 환경 변화에 적절히 대응하기 위해서 거의 대부분의 글로벌 SSL 인증서 CA 는 체인인증서 형태의 발급 체계를 갖고 있습니다.
적용이 필요한 이유는?
최신 웹브라우져 및 디바이스 이더라도, 최신 루트인증서와 일부 체인인증서까지만 보유하고 있어서, 중간 체인 정보가 없으면 클라이언트 웹브라우져에서는 발급된 인증서의 발급자(체인)를 확인하지 못합니다. 발급자를 확인하지 못하면 경고창이 발생하거나 웹페이지에 접속하지 못할수도 있습니다. 그래서 이를 방지하기 위해서, 서버쪽에서 명시적으로 현재 서버인증서의 발급자가 누구이고 어떤 발급 단계를 통하였는지 알려주는 설정을 하는 것입니다.
어떻게 설치 하는 건가요?
설치 방법이 특정하게 따로 있는 것은 아닙니다. 각 서버별 설치 가이드 내용을 보면, 각 서버별 인증서 파일 지정하는 부분이 있고 그 항목중에 체인인증서 지정하는 부분이 있습니다. 단지 그 부분에 지정만 정확하게 하면 됩니다. 귀찮다고 또는 이부분은 지정 안해도 되겠지? 라고 해서 간혹 '개인키/서버인증서' 만 지정하고 '루트인증서/체인인증서' 설정을 안하는 경우가 있는데, 모두 설정해야 합니다.
