SSL 암호화 통신 과정에서 클라이언트는 서버로부터 전달받은 SSL 인증서에 대해 유효성을 검사하는 메카니즘이 있으며, 이것은 SSL 암호화통신의 신뢰에 대한 매우 중요한 부분이다.
CRL(Certificate Revocation LIsts)이란?
인증서 해지 목록이며, 해지되었거나 더 이상 유효하지 않은 인증서의 목록을 의미합니다. 인증기관은 SSL 인증서를 해지 한 후 인증서의 정보를 CRL 목록에 등록합니다. SSL 인증서의 유효성을 확인하기 위해 클라이언트는 URL에 접속하여 인증기관이 등록한 CRL 목록을 다운로드한 후 인증서의 일련번호(Serial Number)을 통해 유효성을 확인합니다.
OCSP(Online Certificate Status Protocol)이란?
온라인 인증서 상태 프로토콜이며, OCSP는 CRL을 주기적으로 업데이트 해줘야하는 단점을 보완한 것으로 동작 방식은 클라이언트가 CA서버에 인증서의 상태 확인요청을 실시간으로 보내면 CA서버는 인증서의 유효성을 확인하여 응답을 제공하는 방식입니다. OCSP 요청에는 인증서 상태를 찾기 위해 브라우저가 해지된 인증서 목록을 확인하지 않아도 됩니다. 또한, OCSP는 CRL보다 빠르게 응답처리를 할 수 있습니다.
| CRL (Certificate Revocation LIsts) | OCSP (Online Certificate Status Protocol) |
|
클라이언트가 다운로드한 CRL파일을 사용하여 인증서의 유효성을 검증. 인증기관이 정기적으로 인증서 해지목록을 업데이트 |
인증기관의 서버에서 실시간으로 인증서의 유효성을 검증 |
한국전자인증에서 발급하는 모든 SSL 인증서의 OCSP 및 CRL 목록은 아래와 같다.
회사의 방화벽 또는 액세스 제어 장치가 네트워크에서 특정 URL 집합으로 액세스 할 수 있또록 구성되어 있는 경우, 방화벽 또는 액세스 제어 장치에 항목을 추가하여 원활한 액세스가 되도록 해야 한다.
| CA | OCSP | CRL |
| Digicert(Symantec) | http://ocsp.digicert.com |
http://crl3.digicert.com http://crl4.digicert.com |
| Thawte | http://status.thawte.com | http://cdp.thawte.com |
|
GeoTrust |
http://status.geotrust.com | http://cdp.geotrust.com |
| RapidSSL | http://status.rapidssl.com | http://cdp.rapidssl.com |
TCP-80 Port를 사용한다.
| OCSP & CRL IP주소 목록 |
192.16.58.8 117.18.237.29 93.184.220.29 72.21.91.29 66.225.197.197 |
SSL 유효성 확인하지 않는 방법은 아래 링크 본문 확인
인터넷 옵션에서 – 서버의 인증서 해지 확인* 체크 해제