서버 / IT openssl 이슈
2016.03.08 15:24
안녕하세요.
요즘 openssl 이슈가 있는걸로 알고있는데,
업데이트 방법에 대해서 아시는 분 있으신가요?
MS 에서도 openssl 을 쓰는지...
openssl 업데이트 방법 알려주세요!!ㅠㅠ
아래는 kisa 공식 문서 링크 입니다.
https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083
댓글 [5]
-
메리아 2016.03.08 20:29
-
DarknessAngel 2016.03.08 20:42
?
bsd/nix계열의 기본 ssl처리 라이브러리중 하나입니다
비용이랑 아무 상관없습니다
-
메리아 2016.03.09 09:31
openssl이 유료라고 한게 아닙니다.
원칙적으로 유료 CA를 쓰는게 정식사용인데, 유료로 못할 곳에서 쓰는게 openssl이라는 겁니다.
OPEN SSL 설명
https://www.lesstif.com/pages/viewpage.action?pageId=6979614
HTTPS와 SSL 설명
https://opentutorials.org/course/228/4894
openssl이야 그냥 대강 서버에서 CA를 만들어 쓰지만,
정식으로 "브라우저에 등록된" CA 기관들은 대부분 유료입니다.
소규모 서버에서는 함부로 사용하기가 부담되죠. 물론 무료도 있고 소규모용 저가도 있지만, 무료가 아무래도 불리한게 있으니 유료가 성업(?)하는거죠.
참고로 접속시 https인데 기업명이 같이 뜨는 경우는 대개 유료 CA입니다. 돈받아먹으니 그정도 서비스는 해줘야죠. ㅋ
아래는 요금표인데,
1개 서버정도는 요금이 싼데,
다수서버 쓰는 중대형이 되면 매년 수십 만원은 나가네요.
https://sslhosting.gabia.com/service
물론 저기에 싼것도 있지만, 돈 아예 쓰기 싫을수도 있으니 openssl로 가상 CA를 만들어 쓰는거죠.
참고로 CA라는 것은 "인증기관"으로서, 유명 유료CA들은 "브라우저에" 기본적으로 등록됩니다.
https ssl이라는 것은 기본적으로 2가지 기능이 있는데, 흔히 알다시피 데이터 전송을 암호화 해주는 기능이 있는데 이건 다들 잘 아는 부분이죠.
다른 기능 하나는 "이 서버는 정상적인 주소입니다"라고 알려주는 서버인증기능입니다.
"이 서버가 (파밍되지않은) 정상주소"라는것을 확인해주려면, 논리적으로 반드시 "제 3자"가 필요해집니다.
즉, 서버-클라이언트 만 있어서는 논리적으로 어떻게해도 정상임을 증명할 수 없습니다.
여기서 "제 3자", 즉, CA가 끼어들어서 클라이언트에게 확인해주는거죠.
그런데 CA도 임의의 서버로 바꿔치기 되지 않았음을 어떻게 알까요?
그건 애초에 "일반적인 모든 브라우저"에 CA기관의 이름과 함께 서버주소까지 심어서 출시하기 때문입니다.
즉, 자동으로 뭐가 등록되고 그런게 아니라, 정식적인 계약관계로 묶여서 CA주소를 브라우저에 넣는거죠.
브라우저 제작사가 처음부터 브라우저 제조할때(?) 집어넣는것으서, IE는 MS를 믿고 가는거고, 크롬은 구글을, 파폭은 모질라재단을 믿고 가는거죠.
그렇게 CA들이 자기를 넣어달라고 브라우저 제작사에게 로비(?)하려면 무료서비스는 힘들죠.
게다가 전세계 수많은 브라우저의 확인요청에 답해줄 정식 CA서버가 있어야하고, 그것을 최상의 상태로 항상 유지해야만 합니다.
그래서 유료가 정식이고 그런겁니다.
참고로 크롬 쓰다보면, 간혹 특정사이트들은 https 에 / 사선으로 빨간색 줄을 그어버린 주소들이 있습니다.
이게 "브라우저에 미등록된 CA를 쓰는" 주소고, 대개 openssl로 임의로 만든 CA를 통한 https주소인 겁니다.
이런 경우 https의 서버인증 기능은 사실상 의미가 없다는 뜻입니다. 주고받는 데이터는 암호화 되지만, "당신이 접속한 주소는 악의적인 서버일수도 있다"는 뜻이죠.
위에서 말한 "제3자"역할을 서버에서 다 해먹는거거든요. 악의적인 의도가 있는지 여부를 믿을 수 없죠.
뭐, 사실 그냥 https를 쓰는 것이나 크게 다를바 없는거라,
빨간줄 그인 https를 만난다고 해서 유난히 더 공포(?)에 떨 필요는 없지만, 아무래도 좀 찜찜하긴 하죠.
(단순히 인증서 설치를 잘못했을수도 있긴함.)
-
DarknessAngel 2016.03.08 20:30
서버에서 어찌할 문제이므로 사용자가 어찌할 부분은 아닙니다
저부분에서 사용자는 단순히 클라및 브라우져 최신 쓰기만 하면 할 수 있는 노력은 다 한겁니다 (나머지는 서버 관리자가 해결할 문제입니다)
추신 : 더 큰 문제는 아직까지 저런 구시대 유물을 활성화해둔 시점에서 관리자가 보안에 관심이 없다는 애기입니다 (이미 주요 브라우져는 ssl3에 대한 지원도 기본->옵션으로 변경했고, 낮은 수준의 인증서에 대해서도 비허용으로 바뀌었습니다)
추신2 : 제 서버는 몇년전부터 ssl2,3를 아에 컴파일시 제거했습니다
-
불감자 2016.03.09 10:29
tcmd의 sftp 접속시 필요한게 openssl 라이브러리더군요.
마침 어제 들어가보려니 안들어가지던데 오늘은 접속이 되네요.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 820 | 서버 / IT| TP링크 로드밸런스라우터 vs 넷기어 R7000 [3] | 쭌쭌 | 951 | 04-25 |
| 819 | 서버 / IT| 무선 최대 접속 허용인원이 어떻게되나요? [6] | 쭌쭌 | 1239 | 04-24 |
| 818 | 서버 / IT| 유무선 익스텐더 & 라우터 [8] | 쭌쭌 | 997 | 04-23 |
| 817 | 서버 / IT| 공유기 하단 내부IP를 전부 IPv6 로 연결하고 싶습니다. [3] | 아름드리나 | 1141 | 04-19 |
| 816 | 서버 / IT| 무선 익스텐더 구성시 [4] | 쭌쭌 | 1073 | 04-17 |
| 815 | 서버 / IT| 윈도우 8.1 환경에 메일 서버 구축할 수 있을까요? [3] | 따루아빠 | 870 | 04-15 |
| 814 | 서버 / IT| 2 WAN포트 장비 설정시 [7] | 쭌쭌 | 986 | 04-04 |
| 813 | 서버 / IT| 무선 확장기 세팅페이지 찾는법? [2] | 쭌쭌 | 1215 | 04-01 |
| 812 | 서버 / IT| 2WAN 포트에서 설정할때 [7] | 쭌쭌 | 976 | 03-31 |
| 811 | 서버 / IT| 네트워크 초보적인 질문 하나 할께요. [3] | 바이오스 | 806 | 03-30 |
| 810 | 서버 / IT| 공유기 WDS 설정시 아이피 주소 [1] | 읍민Kaine | 1095 | 03-29 |
| 809 | 서버 / IT| 네트워크 ip사용량 체크 [1] | 쭌쭌 | 1156 | 03-29 |
| 808 | 서버 / IT| NAS 관련하여 문의드립니다. | 상승 | 919 | 03-28 |
| 807 | 서버 / IT| 50메가와 100메가 [10] | 쭌쭌 | 1537 | 03-27 |
| 806 | 서버 / IT| 윈도우10 익스11에서 유튜브 동영상 재생오류 | 나사로 | 1690 | 03-26 |
| 805 | 서버 / IT| 텔넷관련 질문하나 드립니다. [1] | skecjac | 776 | 03-24 |
| 804 | 서버 / IT| 네트워크 잘 아시는분 도움을 구합니다. [8] | 쭌쭌 | 982 | 03-24 |
| 803 | 서버 / IT| 특정사이트만 빈 화면이 나옵니다. [1] | 담울 | 1092 | 03-23 |
| 802 | 서버 / IT| 무선 확장기 설정방법 | 쭌쭌 | 894 | 03-11 |
| » | 서버 / IT| openssl 이슈 [5] | 펨토 | 814 | 03-08 |
저건 서버에서 해야되는겁니다.
1년에 유명CA에 큰 비용 지불하지 못하는 영세 서버사업자(?)들이 SSL을 이용하고자할 때 쓰는겁니다.
클라이언트인 일반인들은 그냥 굿이나보고 떡이나 먹으면 됩니다.
바꿔말하면 서버개발/운영자 측에서 작업 안하면 클라이언트는 아무것도 못하고 똑같이 보안위협에 노출되는거구요.