피드로 돌아가기
Dev.toSecurity
원문 읽기
CRL과 OCSP를 통한 PKI 인증서 폐기 및 실시간 검증 체계 구축
From Root CA to User Authorization in nginx+apache. Part 2: Certificate Revocation, CRL and OCSP
AI 요약
Context
인증서의 유효 기간(notAfter)과 별개로 키 유출이나 권한 변경 등 보안 사고에 대응하는 즉각적인 폐기 메커니즘의 필요성 대두. 단순 유효 기간 확인만으로는 보장할 수 없는 신뢰 체계의 맹점을 해결하기 위한 구조적 접근 필요.
Technical Solution
- CRL(Certificate Revocation List) 도입을 통한 폐기된 인증서 시리얼 번호 리스트의 정적 배포 및 캐싱 구조 설계
- OCSP(Online Certificate Status Protocol) Responder 구축을 통해 개별 인증서 상태에 대한 실시간 질의 응답 체계 구현
- 인증서 발행 단계에서 CDP(crlDistributionPoints)와 AIA(authorityInfoAccess) 확장 필드를 추가하여 검증자가 폐기 확인 지점을 자동으로 찾도록 설계
- nginx를 통한 CRL/OCSP 응답의 HTTP 서빙 및 OCSP Stapling 설정을 통한 클라이언트의 검증 오버헤드 감소
- OpenSSL의 OCSPSigning 및 noCheck 확장 기능을 활용한 전용 OCSP 응답자 인증서 발행 및 신뢰 체계 분리
실천 포인트
- 인증서 재발급 없이 CDP/AIA 설정을 적용할 수 없으므로 설정 변경 후 반드시 대상 인증서들을 재발행할 것 - CRL의 크기 증가에 따른 네트워크 부하를 고려하여 OCSP Stapling 도입을 통한 성능 최적화 검토 - 운영 환경에서 OCSP Responder의 가용성이 서비스 전체의 인증 가용성에 영향을 미치는지 분석 - OpenSSL 버전에 따라 authorityKeyIdentifier 등 플래그 지원 여부가 다르므로 배포 환경의 정확한 버전 확인