SSL/TLS 인증서란 무엇입니까?
SSL/TLS 인증서는 시스템에서 ID를 확인하고 이후에 Secure Sockets Layer/전송 계층 보안(SSL/TLS) 프로토콜을 사용하여 다른 시스템에 대한 암호화된 네트워크 연결을 설정할 수 있도록 하는 디지털 객체입니다. 인증서는 퍼블릭 키 인프라(PKI)로 알려진 암호화 시스템 내에서 사용됩니다. 양쪽 모두가 인증 기관으로 알려진 타사를 신뢰하는 경우, PKI는 한쪽에서 인증서를 사용하여 다른 쪽의 자격 증명을 설정할 수 있는 방법을 제공합니다. 따라서 SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통한 웹 사이트 및 프라이빗 네트워크의 리소스에 대한 아이덴티티를 설정하는 역할을 합니다.
SSL/TLS 인증서가 중요한 이유는 무엇인가요?
SSL/TLS 인증서는 웹 사이트 사용자 간에 신뢰 관계를 설정합니다. 기업은 웹 서버에 SSL/TLS 인증서를 설치하여 SSL/TLS 보안 웹 사이트를 만듭니다. SSL/TLS 보안 웹 페이지의 특징은 다음과 같습니다.
- 웹 브라우저의 자물쇠 아이콘 및 녹색 주소 표시줄
- 브라우저의 웹 사이트 주소에 https 접두사 포함
- 유효한 TLS 인증서 URL 주소 표시줄의 자물쇠 아이콘을 클릭하여 펼치면 SSL/TLS 인증서가 유효한지 확인할 수 있습니다.
- 암호화된 연결이 설정되면 클라이언트와 웹 서버만 전송된 데이터를 볼 수 있습니다.
SSL/TLS 인증서의 몇 가지 이점은 다음과 같습니다.
개인 데이터 보호
브라우저는 웹 사이트의 SSL/TLS 인증서를 확인하여 웹 사이트 서버와의 보안 연결을 시작하고 유지합니다. SSL/TLS 기술은 브라우저와 웹 사이트 간의 모든 통신을 암호화하는 데 도움이 됩니다.
고객 신뢰 강화
인터넷에 정통한 고객은 개인 정보 보호의 중요성을 이해하고 방문하는 웹 사이트를 신뢰하기를 원합니다. SSL/TLS로 보호되는 웹 사이트에는 고객이 안전하다고 인식하는 녹색 자물쇠 아이콘이 있습니다. SSL/TLS 보호를 통해 고객은 데이터를 비즈니스와 공유할 때 데이터가 보호되고 있음을 알 수 있습니다.
규제 준수 지원
일부 기업은 데이터 기밀성 및 보호에 대한 업계 규정을 준수해야 합니다. 예를 들어 결제 카드 업계의 기업은 PCI DSS를 준수해야 합니다. PCI DSS는 SSL/TLS 인증서로 웹 서버를 보호하는 것을 포함하여 안전한 온라인 트랜잭션을 제공하기 위한 업계 요구 사항입니다.
SEO 개선
주요 검색 엔진은 SSL/TLS 보호를 검색 엔진 최적화의 순위 요소로 만들었습니다. SSL/TLS 보안 웹 사이트는 SSL/TLS 인증서가 없는 유사한 웹 사이트보다 검색 엔진에서 더 높은 순위를 차지할 것입니다. 이로 인해 검색 엔진에서 SSL/TLS로 보호되는 웹 사이트 방문자가 증가합니다.
SSL/TLS 인증서 기술의 주요 원칙은 무엇인가요?
SSL/TLS는 Secure Sockets Layer와 Transport Layer Security(전송 계층 보안)를 의미하는 용어로, 컴퓨터 시스템이 인터넷에서 안전하게 서로 통신할 수 있도록 하는 프로토콜 또는 통신 규칙입니다. SSL/TLS 인증서는 SSL/TLS 프로토콜을 사용하여 웹 브라우저가 웹 사이트에 대해 암호화된 네트워크 연결을 확인하고 설정할 수 있게 해줍니다.
암호화
암호화란 의도한 수신자만 암호를 복호화할 수 있도록 원본 메시지를 스크램블링하는 것을 의미합니다. 예를 들어 모든 영문자를 알파벳 순서에 따라 앞으로 두 자리씩 이동하여 cat이라는 단어를 ecv로 변경할 수 있습니다. 받는 사람은 알고 있는 규칙(또는 키)에 따라 각 문자를 두 자리씩 반대로 이동하여 실제 단어를 읽습니다. SSL/TLS 암호화는 이 개념을 바탕으로, 두 개의 서로 다른 키를 사용하여 메시지를 암호화하고 복호화하는 퍼블릭 키 암호화 기술을 사용합니다. 양쪽 모두가 인증 기관으로 알려진 타사를 신뢰하는 경우, PKI는 한쪽에서 인증서를 사용하여 다른 쪽의 자격 증명을 설정할 수 있는 방법을 제공합니다. 인증 기관은 통신을 시작하기 전에 인증서를 검증하고 양 당사자를 모두 인증합니다.
두 가지 키 유형은 다음과 같습니다.
퍼블릭 키
브라우저와 웹 서버는 퍼블릭 키 페어와 프라이빗 키 페어를 사용하여 정보를 인코딩 및 디코딩하는 방식으로 통신합니다. 퍼블릭 키는 웹 서버가 SSL/TLS 인증서를 통해 브라우저에 제공하는 암호화 키입니다. 브라우저는 웹 서버로 보내기 전에 이 키를 사용하여 정보를 암호화합니다.
프라이빗 키
프라이빗 키는 웹 서버에만 있습니다. 프라이빗 키로 암호화된 파일은 퍼블릭 키로만 복호화할 수 있으며 그 반대의 경우도 마찬가지입니다. 프라이빗 키로 암호화된 파일을 퍼블릭 키로만 복호화할 수 있다면, 해당 파일의 암호를 복호화할 수 있다는 것은 의도한 수신자와 발신자라는 것을 신뢰할 수 있음을 의미합니다.
인증
서버는 SSL/TLS 인증서를 통해 퍼블릭 키를 브라우저로 전송합니다. 브라우저는 신뢰할 수 있는 서드 파티의 인증서를 확인합니다. 따라서 웹 서버의 신원을 신뢰할 수 있는지 확인할 수 있습니다.
디지털 서명
디지털 서명은 모든 SSL/TLS 인증서에 대해 고유한 번호입니다. 수신자는 새 디지털 서명을 생성하고 원래 서명과 비교함으로써, 외부 당사자가 네트워크를 통해 전송되는 인증서를 조작하지 않았는지 확인합니다.
SSL/TLS 인증서는 누가 검증하나요?
인증 기관(CA)은 웹 소유자, 웹 호스팅 회사 또는 기업에 SSL/TLS 인증서를 판매하는 조직입니다. CA는 SSL/TLS 인증서를 발급하기 전에 도메인과 소유자의 세부 정보를 확인합니다. 조직이 CA가 되려면 운영 체제, 브라우저 또는 모바일 디바이스 회사에서 정한 특정 요건을 충족하고 루트 인증 기관으로 리스팅되도록 신청해야 합니다. 이는 인터넷 사용자 간의 신뢰 관계를 구축하는 데 있어 중요합니다. 예를 들어 Amazon Trust Services는 인증 기관이며 웹 사이트에 SSL/TLS 인증서를 발급할 수 있습니다.
SSL/TLS 인증서의 유효 기간은 어떻게 되나요?
SSL/TLS 인증서의 최대 유효 기간은 13개월입니다. SSL/TLS 인증서의 유효 기간은 지난 수년에 걸쳐 점진적으로 단축되었습니다. 이는 기업과 웹 사용자에게 영향을 미치는 보안 위험을 줄이기 위한 조치입니다. 예를 들어 신뢰할 수 없는 서드 파티가 만료된 도메인의 유효한 SSL/TLS 인증서를 사용하여 인증되지 않은 웹 사이트를 만들 수 있습니다.
유효 기간을 단축하면 SSL/TLS 인증서가 악용될 가능성이 줄어듭니다. SSL/TLS 인증서가 만료되면, 브라우저에서 웹 방문자에게 웹 사이트가 안전하지 않다는 경고를 표시합니다. 조직은 이전 SSL/TLS 인증서를 해지하고 갱신된 인증서로 교체합니다. 보안 인시던트를 방지하려면 이전 인증서가 만료되기 전에 갱신 프로세스를 수행해야 합니다.
SSL/TLS 인증서에는 무엇이 포함되어 있나요?
SSL/TLS 인증서에는 다음 정보가 포함됩니다.
- 도메인 이름
- 인증 기관
- 인증 기관의 디지털 서명
- 발급 날짜
- 만료 날짜
- 퍼블릭 키
- SSL/TLS 버전
TLS는 전송 계층 보안을 의미합니다. 이는 SSL/TLS 프로토콜 버전 3.0의 후속 버전이자 그 연장선상에 있습니다. SSL/TLS와 TLS 사이에는 약간의 기술적 차이만 있습니다. SSL/TLS와 마찬가지로 TLS는 브라우저와 웹 서버 간에 암호화된 데이터 전송 채널을 제공합니다. 최신 SSL/TLS 인증서는 SSL/TLS 대신 TLS 프로토콜을 사용하지만 SSL/TLS는 보안 전문가들 사이에서 널리 사용되는 약어입니다. 엄밀하게 말하면 서로 다르지만, SSL과 TLS라는 용어는 일반적으로 같은 의미로 사용됩니다. 또한 Cryptographic Encryption Protocol을 SSL/TLS라고 부르기도 합니다.
SSL/TLS 인증서는 어떻게 작동하나요?
브라우저는 SSL/TLS 인증서를 사용하여 SSL/TLS 핸드셰이크를 통해 웹 서버와의 보안 연결을 시작합니다. SSL/TLS 핸드셰이크는 HyperText Transfer Protocol(HTTPS) 통신 기술의 구성 요소 중 하나로, HTTP와 SSL/TLS의 조합입니다. HTTP는 웹 브라우저가 일반 텍스트로 된 정보를 웹 서버로 전송하는 데 사용하는 프로토콜입니다. HTTP는 암호화되지 않은 데이터를 전송합니다. 즉, 브라우저에서 전송된 정보를 제3자가 가로채고 읽을 수 있습니다. 브라우저는 완벽한 보안 통신을 위해 HTTP를 SSL/TLS와 함께 사용하거나 HTTPS를 사용합니다.
SSL/TLS 핸드셰이크
SSL/TLS 핸드셰이크에는 다음 단계가 포함됩니다.
- 브라우저가 SSL/TLS 보안 웹 사이트를 열고 웹 서버에 연결합니다.
- 브라우저는 식별 가능한 정보를 요청하여 웹 서버의 진위 여부를 확인하려고 시도합니다.
- 웹 서버는 공개 키가 포함된 SSL/TLS 인증서를 회신으로 보냅니다.
- 브라우저는 SSL/TLS 인증서가 유효하고 웹 사이트 도메인과 일치하는지 확인합니다. 브라우저가 SSL/TLS 인증서에 만족하면 공개 키를 사용하여 비밀 세션 키가 포함된 메시지를 암호화하고 전송합니다.
- 웹 서버는 개인 키를 사용하여 메시지를 해독하고 세션 키를 검색합니다. 그런 다음 세션 키를 사용하여 암호화하고 브라우저에 승인 메시지를 보냅니다.
- 이제 브라우저와 웹 서버 모두 동일한 세션 키를 사용하여 메시지를 안전하게 교환하도록 전환합니다.
세션 키
세션 키는 초기 SSL/TLS 인증이 완료된 후 브라우저와 웹 서버 간의 암호화된 통신을 유지합니다. 세션 키는 대칭 암호화를 위한 암호 키입니다. 대칭 암호화는 암호화와 복호화에 모두 동일한 키를 사용합니다. 비대칭 암호화는 엄청난 컴퓨팅 성능을 차지합니다. 따라서 웹 서버는 SSL/TLS 연결을 유지하기 위해 계산이 덜 필요한 대칭 암호화로 전환합니다.
AWS Certificate Manager란 무엇입니까?
AWS Certificate Manager(ACM)는 AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스입니다. ACM은 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해줍니다. 즉, 사용자가 신속하게 인증서를 요청하고, Elastic Load Balancing, Amazon CloudFront 배포 또는 Amazon API Gateway 기반 API와 같은 ACM 통합 AWS 리소스에 배포한 후, AWS Certificate Manager가 인증서 갱신을 처리하도록 할 수 있습니다. 또한, 내부 리소스에 대한 사설 인증서를 생성하고 중앙에서 인증서 수명 주기를 관리할 수도 있습니다.
조직에서는 ACM을 사용하여 SSL/TLS 인증서의 신청, 배포 및 갱신을 간소화합니다. 인증서 서명 요청(CSR)을 생성하여 인증 기관에 제출하는 일반적인 프로세스 대신, 클릭 몇 번으로 ACM 관리형 SSL/TLS 인증서를 손쉽게 만들 수 있습니다.
지금 바로 AWS 계정에 가입하여 AWS Certificate Manager를 시작하세요.
SSL/TLS 인증서는 어떤 유형이 있나요?
SSL/TLS 인증서는 검증 수준과 도메인에 따라 다릅니다. 서로 다른 검증 수준에 따라 인증서를 분류하면 다음과 같습니다.
- 확장 검증 인증서
- 조직에서 검증한 인증서
- 도메인에서 검증한 인증서
지원하는 도메인 유형에 따라 SSL/TLS 인증서를 분류하면 다음과 같습니다.
- 단일 도메인 인증서
- 와일드카드 인증서
- 다중 도메인 인증서
확장 검증 인증서
확장 검증 인증서(EV SSL/TLS)는 최고 수준의 암호화, 검증 및 신뢰도를 제공하는 디지털 인증서입니다. EV SSL/TLS를 신청할 때 조직 또는 웹 소유자는 인증 기관의 엄격한 검사를 받습니다. 여기에는 실제 사업장 주소, 인증서 신청의 적절성 및 독점적 도메인 사용권을 확인하는 것이 포함됩니다.
기업은 EV SSL/TLS를 사용하여 제3자의 무단 액세스로부터 사용자를 보호합니다. 이는 회사가 웹 사이트에서 금융 거래 데이터나 의료 기록과 같은 민감한 데이터를 처리할 때 중요합니다. EV SSL/TLS 인증서에는 비즈니스 조직의 세부 정보가 포함되어 있으며, 이 정보는 브라우저에서 볼 수 있습니다.
조직 검증 인증서
조직 검증 인증서(OV SSL/TLS)는 EV SSL/TLS에 이어 두 번째로 높은 수준의 검증 및 신뢰도를 제공합니다. EV SSL/TLS와 마찬가지로 기업은 OV SSL/TLS를 신청할 때 확인 절차를 거쳐야 합니다. 이 심사 절차는 EV SSL/TLS보다 덜 엄격하지만 신청자는 인증 기관에 도메인 소유권을 증명해야 합니다.
OV SSL/TLS 인증서에는 검증된 비즈니스 정보가 포함되어 있으며 브라우저에서 해당 정보를 확인할 수 있습니다. 소매 및 상업 기업은 OV SSL/TLS 인증서를 사용하여 고객의 신뢰를 확보합니다. OV SSL/TLS는 웹 검색 시에 고객의 개인 정보를 보호하는 강력한 암호화를 제공합니다.
도메인 검증 인증서
도메인 검증 인증서(DV SSL/TLS)는 검증 수준이 가장 낮은 디지털 인증서입니다. 또한 신청 비용이 가장 적게 듭니다. EV SLL 및 OV SSL/TLS와 달리 DV 인증서 신청자는 상대적으로 덜 엄격한 심사 절차를 거칩니다. 신청자는 확인 이메일이나 전화에 응답하여 도메인 소유권을 증명합니다.
DV 인증서에는 신청자의 조직 또는 비즈니스에 대한 자세한 정보가 포함되어 있지 않습니다. 따라서 사용자에게 높은 수준의 보증을 제공하지 않습니다. DV 인증서는 블로그와 같은 정보 웹 사이트에 적합합니다. 결제 게이트웨이, 의료 서비스 기업 또는 민감한 데이터를 취급하는 기타 웹 사이트에는 적합하지 않습니다.
단일 도메인 SSL/TLS 인증서
단일 도메인 SSL/TLS 인증서는 하나의 도메인 또는 하위 도메인만 보호하는 SSL/TLS 인증서입니다. 도메인은 amazon.com과 같은 웹 사이트의 기본 URL 또는 주소입니다. 하위 도메인은 aws.amazon.com과 같이 기본 도메인 앞에 텍스트 확장명이 있는 웹 주소입니다.
예를 들어 http://example.com에 단일 도메인 SSL/TLS 인증서를 사용할 수 있습니다. 하지만 http://example.com과 sub.example.com에 같은 인증서를 동시에 사용할 수는 없습니다.
와일드카드 SSL/TLS 인증서
와일드카드 SSL/TLS 인증서는 도메인과 모든 하위 도메인을 보호하는 SSL/TLS 인증서입니다. 예를 들어 와일드카드 SSL/TLS 인증서 하나를 사용하여 http://example.com, blog.example.com, shop.example.com을 모두 보호할 수 있습니다.
다중 도메인 SSL/TLS 인증서
다중 도메인 인증서는 통합 통신 인증서라고도 합니다. 다중 도메인 SSL/TLS 인증서는 소유자가 동일한 같은 서버 또는 다른 서버에서 호스팅되는 여러 도메인 이름에 대해 SSL/TLS 보호를 제공합니다. 예를 들어 http://example1.com, domain2.co.uk, shop.business3.com 및 chat.message.au에 사용할 다중 도메인 인증서를 구매할 수 있습니다.