°ä´¡µç” CT 로그 ì¦ëª…ì„ ì–´ë–»ê²Œ ì „ë‹¬í•©ë‹ˆê¹Œ?
2015ë…„ 1ì›” 1ì¼ë¶€í„° ëª¨ë“ ì£¼ìš” CA(ì¸ì¦ 기관)는 EV SSL ì¸ì¦ì„œì— 대한 CT(ì¸ì¦ì„œ 투명성) ê¸°ë¡ ê¸°ëŠ¥ì„ ë³´ìœ í•´ì•¼ 합니다. 2018ë…„ 5ì›” 1ì¼ë¶€í„° ëª¨ë“ ì£¼ìš” CA(ì¸ì¦ 기관)는 DV ë° OV SSL/TLS ì¸ì¦ì„œì— 대한 CT(ì¸ì¦ì„œ 투명성) ê¸°ë¡ ê¸°ëŠ¥ì„ ë³´ìœ í•´ì•¼ 합니다.
그러나 ì¦ëª…ì„ ì „ë‹¬í•˜ëŠ” ë° ì‚¬ìš©í•˜ëŠ” ë©”ì»¤ë‹ˆì¦˜ì€ CA마다 다를 수 있습니다. ÃÛÌÒTV는 현재 SCT를 ì „ë‹¬í•˜ëŠ” 세 가지 ë°©ë²•ì„ ëª¨ë‘ ì§¶Äì›í•©ë‹ˆë‹¤. 기본ì 으로 ÃÛÌÒTV는 ë‘ ê°œì˜ Google 로그와 ÃÛÌÒTV 로그ì—ì„œ SCT를 í¬í•¨í•©ë‹ˆë‹¤. SCT를 í¬í•¨í•˜ë©´ 서버 ìš´ì˜ìžê°€ ë”°ë¡œ ìž‘ì—…í• í•„ìš”ê°€ 없어 가장 간단하게Ìýì¦ëª…ì„ ì œê³µí• ìˆ˜ 있습니다. TLS 확장 ë˜ëŠ” OCSP ê³ ì • ì‚¬ìš©ì— ê´€ì‹¬ì´ ìžˆëŠ” 경우 ì„œë²„ì— í•„ìš”í• ìˆ˜ 있는 변경 사í•ì„ ìžì„¸ížˆ ì•Œì•„ë³´ë ¤ë©´ÌýÃÛÌÒTVì— ë¬¸ì˜Çê˜ì‹ì‹µÓ˜¤.
SCT ì „ë‹¬ 방법ì´ëž€ 무엇입니까?
°ä´¡µç” 루트가 í¬í•¨ëœ ì‹ ë¢°í• ìˆ˜ 있는 ë¡œê·¸ì— ì¸ì¦ì„œë¥¼ 기ë¡í• 수 있습니다. 프로세스 í¬í•¨ ìš”ì²ì„ 기ë¡í•˜ê³ SCT(ì„œëª…ëœ ì¸ì¦ì„œ 타임스탬프)ë¡œ ì‘답합니다. SCT는 ì˜ìˆ˜ì¦ê³¼ ê°™ì´ ìž‘ë™í•˜ì—¬ ì¸ì¦ì„œê°€ íŠ¹ì • 기간, 즉 MMD(최대 병합 지연) ë‚´ì— ë¡œê·¸ì— ì¶”ê°€ë ê²ƒìž„ì„ í‘œì‹œí•©ë‹ˆë‹¤. ì´ë ‡ê²Œ 하면 ì¸ì¦ì„œ 발급 ì†ë„ì˜ ì €í•˜ë‚˜ ì¸ì¦ì„œ ì‚¬ìš©ì— ëŒ€í•œ 방해는 방지하면서 ì„¤ì •ëœ ê¸°ê°„ ë‚´ì— ì¸ì¦ì„œê°€ ë¡œê·¸ì— ì¶”ê°€ë 수 있습니다. 허용ë˜ëŠ” 최대 MMD는 24시간입니다. 다시 ë§í•´, SCTê°€ ìƒì„±ëœ 후 24시간 ì´ë‚´ì— 새로 발급ë˜ê³ 기ë¡ëœ ëª¨ë“ ì¸ì¦ì„œê°€ ë¡œê·¸ì— í‘œì‹œë©ë‹ˆë‹¤.
SCT는 ì „ì²´ 수명 ë™ì•ˆ ì¸ì¦ì„œì™€ 함께 ì œê³µë˜ë©° TLS 핸드셰ì´í¬ 프로세스 짶Äì›ì˜ ì¼ë¶€ìž…니다. ì´ í”„ë¡œì„¸ìŠ¤ëŠ” SCT를 í‰ê°€í•˜ì—¬ 승ì¸ëœ CT 로그ì—ì„œ ê°ê° ìƒì„±ë˜ì—ˆëŠ”지 확ì¸í•©ë‹ˆë‹¤.
ì¸ì¦ì„œë¥¼ 사용하여 SCT를 ì „ë‹¬í•˜ëŠ” 세 가지 ë°©ë²•ì„ ì§¶Äì›í•˜ëŠ”ÌýCT
ì¸ì¦ì„œ í¬í•¨
°ä´¡µç” SCT ì¦ëª…ì„ ì¸ì¦ì„œì˜ í™•ìž¥ì— ì§ì ‘ í¬í•¨í•˜ì—¬ ì¸ì¦ì„œì— SCT를 ì—°ê²°í• ìˆ˜ 있습니다. 발급 ì „ì— °ä´¡µç” ì‚¬ì „ ì¸ì¦ì„œë¥¼ ë¡œê·¸ì— ì œì¶œí•˜ê³ ë¡œê·¸ëŠ” SCT를 반환합니다. °ä´¡µç” ì ì ˆí•œ 중간ìžì—ì„œ 서명하기 ì „ì— ë°œê¸‰ëœ ì¸ì¦ì„œì— ë°˜í™˜ëœ SCT를 ì¸ì¦ì„œ 확장으로 í¬í•¨í•©ë‹ˆë‹¤.
ì´ ë°©ë²•ì„ ì‚¬ìš©í•˜ë©´ 서버 ìš´ì˜ìž 측ì—ì„œ 서버를 ìˆ˜ì •í•˜ê±°ë‚˜ 조치를 ì·¨í• í•„ìš”ê°€ 없습니다. 그러나 ì´ ë°©ë²•ì„ ì‚¬ìš©í•˜ë ¤ë©´ CAê°€ ì¸ì¦ì„œë¥¼ 발급하기 ì „ì— SCT를 받아야 합니다.
TLS 확장
서버 ìš´ì˜ìžëŠ” 특수 TLS í™•ìž¥ì„ ì‚¬ìš©í•˜ì—¬ ì‹¤ì œ ì¸ì¦ì„œ 외부로 SCT를 ì „ë‹¬í• ìˆ˜ 있습니다. CAê°€ ì¸ì¦ì„œë¥¼ 발급한 후 서버 ìš´ì˜ìžëŠ” ì¸ì¦ì„œë¥¼ ë¡œê·¸ì— ì œì¶œí•©ë‹ˆë‹¤. 로그는 SCT를 서버 ìš´ì˜ìžì—게 ì „ì†¡í•˜ê³ ì„œë²„ëŠ” TLS í™•ìž¥ì„ ì‚¬ìš©í•˜ì—¬ 핸드셰ì´í¬ ê³¼ì •ì—ì„œ SCT를 ì „ë‹¬í•©ë‹ˆë‹¤.
ì´ ë°©ë²•ì„ ì‚¬ìš©í•˜ë©´ ì¸ì¦ì„œ í¬ê¸°ê°€ ì¤„ì–´ë“¤ê³ CA 측ì—ì„œ ìž‘ì—…ì„ ìˆ˜í–‰í•˜ì§€ ì•Šì•„ë„ ë©ë‹ˆë‹¤.
OCSP ê³ ì •
서버 ìš´ì˜ìžëŠ” OCSP(온ë¼ì¸ ì¸ì¦ì„œ ìƒíƒœ í”„ë¡œí† ì½œ) ê³ ì •ì„ ì‚¬ìš©í•˜ì—¬ SCT를 ì „ë‹¬í• ìˆ˜ë„ ìžˆìŠµë‹ˆë‹¤. °ä´¡µç” OCSP ê³ ì •ì„ ì‚¬ìš©í•˜ì—¬ 로그 서버와 서버 ìš´ì˜ìž 모ë‘ì—게 ì¸ì¦ì„œë¥¼ 발급합니다. °ä´¡µç” OCSP ì‘ë‹µì— ëŒ€í•œ 서버 ìš”ì²ì˜ ì¼ë¶€ë¡œ SCT를 서버 ìš´ì˜ìžì—게 반환합니다. 서버는 TLS 핸드셰ì´í¬ ê³¼ì •ì—ì„œ SCT를 확장으로 í¬í•¨í•˜ëŠ” ì´ ì‘ë‹µì„ í´ë¼ì´ì–¸íŠ¸ì— ì œê³µí•©ë‹ˆë‹¤.
ì´ ë°©ë²•ì„ ì‚¬ìš©í•˜ë ¤ë©´ 발급 ì¤‘ì— CAê°€ ì¸ì¦ì„œë¥¼ ë¡œê·¸ì— ì œì¶œí•´ì•¼ 하지만, CAê°€ SCT를 받기 ì „ì— ì¸ì¦ì„œë¥¼ ì „ë‹¬í• ìˆ˜ 있습니다. ì´ ë°©ë²•ì„ ì‚¬ìš©í•˜ë ¤ë©´ 서버 ìš´ì˜ìžê°€ 서버ì—ì„œ OCSP ê³ ì •ì„ í™œì„±í™”í•´ì•¼ 합니다.
