[이슈][윈서트] Mozilla Root Store Policy(MRSP) 모질라 루트 저장소 정책 이슈 대응 가이드
안녕하세요 윈서트입니다.
모질라(Mozilla)는 크롬, 파이어폭스, 사파리, 엣지와 같은 대부분에 브라우저에서 사용하고 있는 주요 기반이라고도 할 수 있습니다. 즉 대부분의 브라우저는 모질라라는 것을 포함하고 있습니다.
그 중 모질라 루트 저장소를 관리하는 정책(Mozilla Root Store policy)들 중
저장소에 저장되어 있는 루트 CA 인증서들 중 발급일 기준으로 15년이 넘으면 신뢰하지 않는다는 정책이 2025년 4월 15일부터 실행된다는 것입니다.
대부분의 인증기관(CA) 루트(Root) 인증서가 정책에 영향을 받습니다.
2025년4월15일 정책 실행되면 아래와 같은 인증기관의 Root 인증서들, 즉 발급일 2006년 이전인 것은 사용할 수 없게됩니다.
-----------------------------------------------------
주요 인증기관 대상 CA
-----------------------------------------------------
Sectigo AAA Certificate Services
Not Before: Jan 1 00:00:00 2004 GMT <<<-- 발급일
Not After : Dec 31 23:59:59 2028 GMT Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
-----------------------------------------------------
GlobalSign Root CA
Not Before: Sep 1 12:00:00 1998 GMT <<<-- 발급일
Not After : Jan 28 12:00:00 2028 GMT
Serial Number: 04:00:00:00:00:01:15:4b:5a:c3:94
Signature Algorithm: sha1WithRSAEncryption
-----------------------------------------------------
왜? "Sectigo AAA Certificate Services" Root를 계속 사용하게 되었을까?
그것은 오래된 Root인증서들은 보안성이 낮지만 브라우저 또는 Client 의 호환성을 높이고, 사용자의 불편을 최소화 하기 위해 이용하고 있었습니다.
미칠 영향 ?
2025년 4월15일까지는 영향이 없습니다.
어떻게 해야하나 ?
발급일이 2006년 이전인 Root CA 인증서를 웹서버 또는 WAS에 CA 인증서로 적용하면 안됩니다. 고도화된 CA 인증서를 이용해야합니다.
AS_IS
2025년 4월15일전까지 "AAA Certificate Services" Root 인증서를 웹서버 또는 WAS에 지정되어 있는 CA 인증서를고도화된 Chain 과 Root 인증서로 변경해야합니다.
CN:www.wincert.com
CN:Sectigo RSA Domain Validation Secure Server CA
CN:USERTrust RSA Certification Authority
CN:AAA Certificate Services <<<-- 2025년4월15일 이후 신뢰하지 않음
TO_BE
CN:www.wincert.com
CN:Sectigo RSA Domain Validation Secure Server CA
CN:USERTrust RSA Certification Authority <<<-- 고도화된 Root 인증서
현재는 PC환경에 따라 AS_IS 또는 TO_BE 의 경로검증이 확인될수 있습니다. 하지만 2025년4월15일이후에는 TO_BE 의 경로검증이 확인될 것입니다.
