FAQ. 내부망 (폐쇄, 사설 , 인트라넷) 에 공인 SSL 적용이 가능하나요?

SecureSign 에서 발급 진행되는 SSL 인증서는 모두 국제 공인 글로벌 SSL 인증서 입니다.

그래서 SSL 페이지에 접속하는 클라이언트(웹브라우져)에서는 필수로 해외(케시는 한국도 지원) 에 있는 인증기관 CA 인증 서버에 접근하여, 웹서버에 적용된 SSL 인증서가 유효한지 확인(절대 필수 작동) 을 합니다.

그렇기 때문에 폐쇄망이라고 하더라도 직접 또는 우회 상관없이, 폐쇄망에 있는 클라이언트가 해외 인증기관 CA 서버에 인터넷 Outbound TCP 80,443 접근이 필수로 가능해야 합니다.

폐쇄망 네트워크에서는 단순히, 클라이언트와 CA 서버간 통신 문제가 핵심입니다.



▷ 상용 SSL 인증서는 폐쇄망도 지원하나요? 

상용 SSL 인증서를 적용하면 접근 차단된것도 가능하게 해준다? 해결해준다? 라는건 존재하지 않습니다. SSL 인증서와 상관없이, 단순히 네트워크를 폐쇄적인 구성으로 해놓았기 때문이며, 일부를 허용하면 해결되는 단순한 문제일 뿐입니다.


▷ 인터넷 연결이 차단되면 어떤 문제가 발생하나요?

웹브라우져 또는 시스템등의 클라이언트에서 SSL 인증서를 발급해준 CA 서버에 접근하지 못하면, 유효성을 확인하지 못하기 때문에, 계속 경고창, 경고로그, 에러로그 등이 발생하거나 웹브라우져 종류에 따라서는 https:// 접속이 완전히 차단될수도 있습니다.


▷ 혹시 인터넷 허용 안하고도 어떻게 방법이 없나요?

고객사의 네트워크 기술 담당자가, 내부 네트워크 환경에서 특별한 방안을 직접 찾아내 구현하지 않는 이상, 인터넷이 완벽하게 차단된 일반적인 폐쇄 환경에서는 가능하지 않습니다.


▷ 제한적으로 허용하는 방법은 없나요?

SSL 인증서의 유효성 검사는, SSL 인증서에는 CRL,OCSP,CPS 접근 경로 정보가 포함되어 있습니다 (웹브라우져에서 인증서 상세보기 확인 가능). 해당 URL 경로에 대한 접근만 제한적으로 허용해 주면 됩니다.


▷ 폐쇄망에 있는 PC 들의 다른 문제는 없나요? 

폐쇄망의 경우 상당수 회사/기관에서 클라이언트 PC 의 폐쇄적인 운용으로, OS 의 패치,업데이트,서비스팩등을 적용하지 않는 경우가 많습니다. 이런 경우 최신 루트 인증서가 자동 업데이트 불가하여 루트 인증서가 일부만 존재하거나 또는 웹서버와 호환되는 SSL 프로토콜 (암호화 모듈) 이 지원되지 않아서 접속시 별도의 오류가 있을 수 있습니다. (정기적인 최신 업데이트 환경 필요)


참조
https://www.securesign.kr/guides/kb/14
https://www.securesign.kr/faq/view/39

 

컨텐츠의 무단 전제복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2021. All rights reserved.