Sectigo, AAA Certificate Services - USERTrust RSA Certification Authority 루트 (cross-signing)

기술자료, 설치/적용 이슈 주요 사례

(2023기준)

Sectigo Root 는 몇가지가 존재하며, SSL 인증서 발급시 아래 2개의 루트가 대부분 활용됩니다. Sectigo Root 는 Cross-Signing 되어 있기 때문에, 가장 오래된  AAA Certificate Services(sha1) 루트를 적용해도, 클라이언트(웹브라우저 같은) 에서 최단 경로를 알아서 확인 합니다.

예로, 웹서버에 SSL 적용시 AAA Certificate Services 루트를 지정하였더라도, 최신 업데이트가 적용된 웹브라우저에서 사이트를 접속후 인증서 상세보기를 하면, AAA Certificate Services Root 가 아니라 USERTrust RSA Certification Authority Root 로 자동 확인되는 경우입니다.

AAA Certificate Services 가 매우 오래전 부터 광범위한 환경에 배포되어 있기에, 다양한 구형 디바이스에서의 호환성 높습니다. 그래서 기본적으로 AAA Certificate Services 루트를 적용하는것을 권장하고 있습니다.

물론 선택적으로 USERTrust RSA Certification Authority Root 를 적용해도 됩니다만, 역으로 USERTrust RSA Certification Authority Root 가 없는 클라이언트에서는(오래된 구형 다바이스, 업데이트 제한된 디바이스등에서) 인증서 확인 오류 발생 가능성을 유의해야 합니다. (AAA 보다 배포가 덜 되어 있기 때문 - 루트 자동업데이트가 제한된 환경)





AAA Certificate Services 를 적용할지 USERTrust RSA Certification Authority 를 적용할지는, 아주 개인적인 선택일 뿐이며 한쪽 강제 사항은 아닙니다. 기존 루트를 바꿔 적용한다고 해서, 서버인증서의 '재발급' 등은 필요하지 않습니다. (각 서버의 SSL 인증서 파일 지정하는 기존 설정에서, 루트/체인  부분만 바꿔 지정하면 되는 단순 사항)

예) 

공식 배포 설정 : AAA + USERTrust Chain + Brand Chain + (서버인증서)

임의 변경 설정 : USERTrust Root + Brand Chain + (서버인증서)
https://asset.sslcert.co.kr/files/Sectigo_RSA_DV_SHA2_Root.zip
https://asset.sslcert.co.kr/files/Sectigo_RSA_OV_SHA2_Root.zip
https://asset.sslcert.co.kr/files/GoGetSSL_RSA_DV_SHA2_Root.zip



[루트 파일 정보]

USERTrust RSA Certification Authority (USERTrust Root > Brand Chain > Server)

SHA256지문 : e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2
상세 정보 : https://crt.sh/?q=e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2
PEM 다운로드 : https://crt.sh/?d=1199354


USERTrust RSA Certification Authority (AAA > USERTrust Chain > Brand Chain > Server)

SHA256지문 : 68b9c761219a5b1f0131784474665db61bbdb109e00f05ca9f74244ee5f5f52b
상세 정보 : https://crt.sh/?q=68b9c761219a5b1f0131784474665db61bbdb109e00f05ca9f74244ee5f5f52b
PEM 다운로드 : https://crt.sh/?d=1282303295



-----------

참고로,  Mozilla 에서는 2025.04.15 이후부터 AAA 루트를 인정하지 않기로 하였습니다. 이유는 오래된 sha1 알고리즘으로 생성된 루트 이기 때문입니다. Sectigo 뿐만 아니라 DigiCert, GlobalSign 등의 오래된 루트 인증서도 같이 비승인됩니다. 

https://www.sectigo.com/resource-library/enhancements-to-root-ca-and-hierarchies

Sectigo 공식 공지 내용 중,  Cross-Signing 되어 있어 루트 영향이 없다는 설명 : "use a certificate chain cross-signed by the “AAA Certificate Services” Root CA to support legacy platforms, this change will not have an impact."

(Sectigo 는 Cross-Signing Root 이므로 타 CA에 비해서 제약에서 비교적 자유로움)



컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
SecureSign. All rights reserved.