폐쇄(보안, 인트라넷, 내부, 사설)망에서 공인 SSL 인증서 유효 확인 오류 (방화벽,보안,차단)

기술자료, 설치/적용 이슈 주요 사례

공용 SSL 인증서는, Outbound 가 공개 오픈된(제한없는) 환경에서의 작동(적용)을 기본 전제 조건으로 하고 있습니다.  고객사측에서 임의 차단(제한) 을 설정한 환경에서는 원활한 작동이 되지 않을수 있습니다.

Outbound 로 인터넷 연결이 완전히 차단된 환경에서, 내부망에 공인인증서를 적용할 경우에는 웹브라우져에서 SSL 인증서 확인 오류가 발생하게 됩니다. 이유는, 웹브라우져가 접속하는 https:// 사이트의 SSL 인증서에 대해서 유효성 검사를 할수 없게 되기 때문입니다.

인증기관 CA 가 해외에 존재하므로, 웹브라우져(또는 클라이언트)의 해외 인터넷 접속이 필수 조건입니다. 폐쇄망이더라도 국제 공인 SSL 인증서 적용을 한다면 인증서 발급자에 대한 최소한의 인터넷 outbound 접속 허용은 절대 필요합니다.

◾ 일반적인 확인 절차 :  https:// URL ➜ 웹브라우저 ➜ 웹서버접속 ➜ 서버인증서 ➜ 인증기관CA 접속(해외) ➜ 인증서 유효조회 ➜ 유효시 대상 웹페이지 정상접속
◾ 네트워크 접근 : 웹브라우저(또는 클라이언트) ➜ (outbound) ➜ 해외접속(인증기관 CA)


[인증서 발급자 정보 확인]

각 웹브라우져에서 https:// 주소로 웹사이트 접속후, 주소창에서 자물쇠 등의 보안 속성 보기 - 인증서 상세 보기를 하면, 다음 아래와 같은 URL 항목이 포함되어 있으며, 해당 URL 도메인 또는 URL 의 IP 주소에 대한 outbound 접속 허용이 필요합니다.





예제) Comodo 브랜드의 경우

     Certificate Policy URL 
          https://secure.comodo.com/
          https://sectigo.com/
     CRL Distribution Point URL
          http://crl.comodoca.com/ 
          http://crl.comodo.net
          http://crl.sectigo.com/
          http://crl.usertrust.com/
     Authority Info Access URL
          http://crt.comodoca.com/ 
          http://ocsp.comodoca.com 
          http://crt.sectigo.com/ 
          http://ocsp.sectigo.com
          http://crt.usertrust.com/
          http://ocsp.usertrust.com


[허용해야 할 URL 정보 관련]

⦁ URL 정보는 발급된 인증서 자체에 포함되어 있으므로, 발급 받은 인증서의 상세 정보에서 직접 확인하시기 바랍니다. 
⦁ URL 정보는 '각 브랜드 및 인증서마다 또는 발급 받은 시기 마다' CA 정책에 따라 차이가 있을수 있습니다.
⦁ URL 정보는 서버인증서 뿐만 아니라 '루트/체인 인증서' 에도 존재하므로 모두 각각 확인해야 합니다.
⦁ URL 의 IP 정보는, 인증기관 CA에서 언제든지 변경 가능하며 고정된 값이 아닙니다. (IP 대신, 도메인/URL 허용 권장)
⦁ URL 의 IP 정보는, ping 또는 nslookup 명령어로 허용할 FQDN(URL도메인) 을 조회하면 확인되는 IP 입니다.


https://support.sectigo.com/IS_KnowledgeDetailPage?Id=kA01N000000zFJr
https://knowledge.digicert.com/alerts/new-crl-and-ocsp-cdn-ip-addresses-pki-platform-7-and-8


참고로, 폐쇄망의 경우 상당수 회사/기관에서 클라이언트 PC 의 폐쇄적인 운용으로, OS 의 패치 / 업데이트 / 서비스팩등을 아예 적용하지 않는 경우가 많습니다. 이런 경우 최신 루트 인증서가 존재하지 않아서, 방화벽 허용과는 별개의 다른 오류가 발생할수도 있습니다. (자동업데이트허용) (루트인증서 수동설치) (정기적인 최신 업데이트 환경 필요)

User Agent Capabilities  : https://www.ssllabs.com/ssltest/clients.html
SSL/TLS Capabilities of Your Browser  : https://www.ssllabs.com/ssltest/viewMyClient.html


컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.