SHA-1 알고리즘을 사용하고 있는 인증서의 경고 이슈

발생일: 2015.04.28

키워드: 인증서, 크롬, Chrome, 

문제:

크롬 브라우저에서 https://story.kakao.com 에 접속하면, 언제부턴가 아래처럼 노란 삼각형 에러가 표시된다.

인증서 만료일이 아직 도래하지 않았는데, 왜 경고 표시가 나오는 걸까?

인증서를 클릭해보면 아래와 같은 문구나 나온다.

The identity of this website has been verified by Thawte SSL CA but does not have public audit records.

The site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.

해결책:

확인해보니, SHA-1 알고리즘의 취약성 때문에,

크롬 브라우저에서는 SHA-1 알고리즘을 이용하는 인증서를 사용하는 사이트에는 경고 표시를 하고 있다고 한다.

(http://googleonlinesecurity.blogspot.kr/2014/09/gradually-sunsetting-sha-1.html)

작년 9월 크롬 39버전부터 단계적으로 진행해오고 있는데, 현재 42버전 기준으로 적용된 룰은 아래와 같다.

- 2016년 내에 만료되는 인증서인 경우엔 노란 삼각형 아이콘("secure, but with minor errors")을 표시

- 2017년 이후에 만료되는 인증서인 경우엔 빨간 X("affirmatively insecure”)를 표시

지금 사용하고 있는 인증서도 SHA-1 알고리즘을 사용하고 있고 2016년 만료되는 것들이라, 노란색 삼각형으로 경고 표시가 되어 있던 것이었다.

문의해보니 이미 알고 있는 이슈이고 곧 해결될 거라 한다. :)

크롬 브라우저에서만 경고성으로 보여주는 거라 인증서의 신뢰에는 문제가 없다.

다른 사이트들은 어떻게 하고 있는지도 궁금해 확인해봤다.

다음, 페이스북, 구글, 아마존도 SHA-1 알고리즘을 적용한 인증서를 사용하고 있긴 한데,

모두 2015년 만료되는 인증서들이라 경고 아이콘이 표시되진 않더라.

깃헙의 경우엔 SHA-256을 적용한 인증서를 사용하고 있었다.

- 참고:

https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1

https://support.servertastic.com/deprecation-of-sha1-and-moving-to-sha2/