문제점
Mozilla 제품 루트 인증서에 포함된 인증 기관의 Entrust 사에서 산하 인증 기관 중 하나인 말레이시아 DigiCert Sdn. Bhd. 사가 낮은 강도의 인증서 22개를 발급한 것이 보고되었습니다. 이들이 부정하게 발행된 징후는 없지만, 낮은 강도의 열쇠는 인증서가 보안 침해를받을 우려가 있습니다. 또한 인증 기관에서 발급한 인증서에는 몇 가지 기술적인 문제가 보여집니다. 용도를 지정하는 EKU 확장이 누락되어 해지 정보도 포함하지 않습니다.
이것은 Firefox에 큰 문제는 없지만, Mozilla는이 인증 기관의 기술 관행에 대한 우려를 고려하여 DigiCert Sdn. Bhd. 사의 중간 인증 기관에 대한 신뢰를 취소하기로했습니다.
DigiCert Sdn. Bhd.社는 말레이시아에서 영업하고있는 Entrust 사와 Verizon (GTE CyberTrust) 산하의 인증 기관입니다. 미국에 본사를두고 같이 Mozilla 제품 루트 인증서에 포함된 DigiCert사와도 관련이 없습니다.
사용자에 미치는 영향
공격자가 이러한 낮은 강도의 열쇠 중 하나를 사용하여 정규의 소유자로 가장할 수 있습니다. 이것은 사용자를 속여 악의적인 콘텐츠와 소프트웨어를 정품 소유자가 제공하는 Web 사이트나 서명된 소프트웨어 것처럼 신뢰하는 것이 가능합니다. 문제의 인증서는 다양한 말레이시아 정부 사이트 및 내부 시스템에 게시되어 있습니다. 다른 사이트에 영향을 줄 가능성은 없다고 생각됩니다.
처리 방안
Mozilla는 DigiCert Sdn. Bhd. 사에 의해 발급된 모든 인증서의 신뢰를 취소합니다. 이 변경은 Firefox 8와 Firefox 3.6.24 부터 시작합니다. 이 문제는 Entrust 사에서 Mozilla에보고되었습니다.
No comments yet
Post a comment