[보안취약점] DigiCert 루트 인증서 취소

문제점
Mozilla 제품 루트 인증서에 포함된 인증 기관의 Entrust 사에서 산하 인증 기관 중 하나인 말레이시아 DigiCert Sdn. ​​Bhd. 사가 낮은 강도의 인증서 22개를 발급한 것이 보고되었습니다. 이들이 부정하게 발행된 징후는 없지만, 낮은 강도의 열쇠는 인증서가 보안 침해를받을 우려가 있습니다. 또한 인증 기관에서 발급한 인증서에는 몇 가지 기술적인 문제가 보여집니다. 용도를 지정하는 EKU 확장이 누락되어 해지 정보도 포함하지 않습니다.

이것은 Firefox에 큰 문제는 없지만, Mozilla는이 인증 기관의 기술 관행에 대한 우려를 고려하여 DigiCert Sdn. ​​Bhd. 사의 중간 인증 기관에 대한 신뢰를 취소하기로했습니다.

DigiCert Sdn. ​​Bhd.社는 말레이시아에서 영업하고있는 Entrust 사와 Verizon (GTE Cyber​​Trust) 산하의 인증 기관입니다. 미국에 본사를두고 같이 Mozilla 제품 루트 인증서에 포함된 DigiCert사와도 관련이 없습니다.

사용자에 미치는 영향

공격자가 이러한 낮은 강도의 열쇠 중 하나를 사용하여 정규의 소유자로 가장할 수 있습니다. 이것은 사용자를 속여 악의적인 콘텐츠와 소프트웨어를 정품 소유자가 제공하는 Web 사이트나 서명된 소프트웨어 것처럼 신뢰하는 것이 가능합니다. 문제의 인증서는 다양한 말레이시아 정부 사이트 및 내부 시스템에 게시되어 있습니다. 다른 사이트에 영향을 줄 가능성은 없다고 생각됩니다.

처리 방안
Mozilla는 DigiCert Sdn. ​​Bhd. 사에 의해 발급된 모든 인증서의 신뢰를 취소합니다. 이 변경은 Firefox 8와 Firefox 3.6.24 부터 시작합니다. 이 문제는 Entrust 사에서 Mozilla에보고되었습니다.

댓글 없음

댓글 남기기

의견 보내기