피드로 돌아가기
From Root CA to User Authorization in nginx+apache. Part 2: Certificate Revocation, CRL and OCSP
Dev.toDev.to
Security

CRL과 OCSP를 통한 PKI 인증서 폐기 및 실시간 검증 체계 구축

From Root CA to User Authorization in nginx+apache. Part 2: Certificate Revocation, CRL and OCSP

Maksim Didenko2026년 6월 25일91advanced

Context

인증서의 유효 기간(notAfter)과 별개로 키 유출이나 권한 변경 등 보안 사고에 대응하는 즉각적인 폐기 메커니즘의 필요성 대두. 단순 유효 기간 확인만으로는 보장할 수 없는 신뢰 체계의 맹점을 해결하기 위한 구조적 접근 필요.

Technical Solution

  • CRL(Certificate Revocation List) 도입을 통한 폐기된 인증서 시리얼 번호 리스트의 정적 배포 및 캐싱 구조 설계
  • OCSP(Online Certificate Status Protocol) Responder 구축을 통해 개별 인증서 상태에 대한 실시간 질의 응답 체계 구현
  • 인증서 발행 단계에서 CDP(crlDistributionPoints)와 AIA(authorityInfoAccess) 확장 필드를 추가하여 검증자가 폐기 확인 지점을 자동으로 찾도록 설계
  • nginx를 통한 CRL/OCSP 응답의 HTTP 서빙 및 OCSP Stapling 설정을 통한 클라이언트의 검증 오버헤드 감소
  • OpenSSL의 OCSPSigning 및 noCheck 확장 기능을 활용한 전용 OCSP 응답자 인증서 발행 및 신뢰 체계 분리

- 인증서 재발급 없이 CDP/AIA 설정을 적용할 수 없으므로 설정 변경 후 반드시 대상 인증서들을 재발행할 것 - CRL의 크기 증가에 따른 네트워크 부하를 고려하여 OCSP Stapling 도입을 통한 성능 최적화 검토 - 운영 환경에서 OCSP Responder의 가용성이 서비스 전체의 인증 가용성에 영향을 미치는지 분석 - OpenSSL 버전에 따라 authorityKeyIdentifier 등 플래그 지원 여부가 다르므로 배포 환경의 정확한 버전 확인

원문 읽기