SSL / TLS 인증서 구매자 가이드

작성자 :
  • 온라인 사업
  • 업데이트 : 7 월 02, 2019

아무도 뭔가를해야한다는 말을 듣는 것을 좋아하지 않습니다. 반역하는 것은 인간 본성 일 뿐이지 만 때로는 할 수있는 최선의 방법은 입술을 물고 그것을 따라 가야하는 경우입니다. 그런 경우가 있습니다. HTTPS 위임 그것은 구글과 다른 브라우저 제작자의 지난 여름에 의해 계승되었다.

현재 HTTP를 통해 제공되는 모든 웹 사이트는 트래픽 및 전환을 위협하는 별칭 인 '보안되지 않음'으로 표시됩니다. 이는 모든 웹 사이트에 SSL / TLS 인증서가 필요하다는 것을 의미합니다. SSL / TLS 인증서는 HTTPS 로의 마이그레이션을 용이하게하며 웹 사이트 방문자와의 통신을 보호합니다.

7 월 2018부터 Chrome은 모든 HTTP 사이트를 "안전하지 않음"으로 표시했습니다 (자세한 내용을 보려면).

이 가이드는 SSL / TLS 인증서를 구매할 때 고려해야 할 사항을 설명합니다. 먼저 기술에 대한 간단한 개요부터 살펴보고 먼저 나와 자신의 웹 사이트에 맞는 인증서를 결정할 때 필요한 세부 사항을 살펴 보겠습니다.

SSL / TLS 101 : 개요

인터넷에서 안전하게 통신하려면 웹 사이트를 호스팅하는 서버와 연결하려는 클라이언트가 암호화를 사용해야합니다. 암호화는 다음과 같은 수학적 프로세스입니다. 공인 된 당사자 이외의 사람에게 데이터를 읽을 수 없게합니다.. 암호화 키를 사용하여 수행되며 클라이언트와 서버가 안전하게 연결할 수 있습니다. 둘 다 동일한 키의 사본을 소유해야합니다..

그게 문제가되는데 어떻게 그 열쇠를 안전하게 교환합니까? 공격자가 암호화 키를 손상시킬 수있는 경우 공격자가 일반 텍스트처럼 모든 데이터를 계속 볼 수 있기 때문에 해당 암호화를 쓸모 없게 만듭니다.

SSL / TLS는 키 교환 문제에 대한 해결책입니다.

SSL / TLS는 다음 두 가지 작업을 수행합니다.

  1. 클라이언트가 연결할 엔터티를 알 수 있도록 서버를 인증합니다.
  2. 안전하게 통신하는 데 사용할 수있는 세션 키 교환을 용이하게합니다.

약간 추상적으로 보일 수 있으므로 움직이자.

클라이언트가 HTTPS (Hypertext Transfer Protocol)의 보안 버전 인 HTTPS를 통해 웹 사이트에 연결하려고 할 때마다 인터넷은 수십 년 동안 사용 해왔다. - 클라이언트와 사이트를 호스팅하는 서버 사이에서 일련의 상호 작용이 발생합니다.

SSL / TLS 암호화에는 두 가지 유형의 암호화 키가 있습니다. 방금 언급 한 대칭 세션 키가 있습니다. 그것들은 암호화와 암호 해독 모두 가능하며 연결 ​​자체에서 통신하는 데 사용됩니다. 다른 키는 공개 / 개인 키 쌍입니다. 이러한 형태의 암호화를 공개 키 암호화라고합니다. 공개 키는 암호화 할 수 있으며 개인 키는 해독합니다.

처음에 클라이언트와 서버는 상호 지원되는 암호 제품군을 선택합니다. 암호 모음 연결 중에 사용되는 암호화를 제어하는 ​​알고리즘 세트입니다.

암호 모음이 합의되면 서버는 SSL 인증서와 공개 키를 보냅니다. 일련의 검사를 통해 클라이언트는 서버를 인증하고 ID를 확인하며 연결된 공개 키의 정당한 소유자임을 확인합니다.

이 확인에 따라 클라이언트는 세션 키 (또는이를 파생시키는 데 사용할 수있는 비공개 암호)를 생성하고 서버의 공개 키를 사용하여 암호를 서버에 보내기 전에 암호화합니다. 서버는 개인 키를 사용하여 세션 키의 암호를 해독하고 암호화 된 연결을 시작합니다 (이것은 RSA에서 수행 된 가장 일반적인 키 교환 형식입니다 - Diffie-Hellman 키 교환은 약간 다릅니다.).

그래도 여전히 조금 복잡해 보인다면 훨씬 더 간단하게 만들어 보겠습니다.

  • 안전하게 통신하려면 두 당사자가 대칭 세션 키를 공유해야합니다.
  • SSL / TLS는 공개 키 암호화를 사용하여 해당 세션 키 교환을 용이하게합니다.
  • 서버 ID를 확인한 후에 세션 키 또는 비밀은 공개 키로 암호화됩니다.
  • 서버는 개인 키를 사용하여 세션 키를 해독하고 암호화 된 통신을 시작합니다

이제 웹 사이트 소유자 인 귀하가 SSL / TLS 인증서를 구매하거나 인수 할 때 고려해야 할 사항에 대해 알아 보겠습니다.

SSL / TLS 인증서를 구입할 때 고려해야 할 사항은 무엇입니까?

SSL / TLS 인증서를 구매할 때 두 가지 주요 질문에 대한 결정을 내리고 있습니다.

  1. 어떤 표면을 덮어야합니까?
  2. 얼마나 많은 신원을 주장하고 싶습니까?

이 질문에 답할 수 있으면 인증서를 선택하는 것이 브랜드 및 비용 문제가되며 필요한 제품 유형을 이미 알고있을 것입니다.

이제 우리는 더 나아가 하나의 중요한 사실을 확립 해 보겠습니다. 두 질문에 어떻게 대답하든 모든 SSL / TLS 인증서는 동일한 암호화 강도를 제공합니다.

암호화 강도는 지원되는 암호화 제품군과 연결의 양쪽 끝에있는 클라이언트 및 서버의 컴퓨팅 성능의 조합에 의해 결정됩니다. 시중에서 가장 비싼 SSL / TLS 인증서와 완전 무료 인증서는 동일한 수준의 업계 표준 암호화를 용이하게합니다.

인증서에 따라 달라지는 것은 ID 및 해당 기능의 수준입니다.

커버해야 할 표면을 시작하겠습니다.

1- SSL / TLS 인증서 기능

현대 웹 사이트는 초기 트래픽을 추적하기 위해 여전히 페이지 하단에 카운터를 배치했을 때 인터넷 초기에 있었던 것보다 훨씬 발전했습니다. 요즘 기업들은 내부적으로나 외부 적으로 웹 인프라가 복잡합니다. 우리는 여러 도메인, 하위 도메인, 메일 서버 등을 말합니다.

다행히 SSL / TLS 인증서는 최신 웹 사이트와 함께 발전하여 보안을 강화했습니다. 모든 유스 케이스에 대한 인증서 유형이 있지만, 구체적인 유스 케이스가 무엇인지 알기 위해서는 귀하의 재량이 필요합니다.

네 가지 SSL / TLS 인증서 유형과 그 기능을 살펴 보겠습니다.

  • 단일 도메인 - 이름에서 알 수 있듯이이 SSL / TLS 인증서는 단일 도메인 (WWW 및 비 WWW 버전 모두) 용입니다.
  • 다중 도메인 -이 유형의 SSL / TLS 인증서는 여러 웹 사이트가있는 조직을 대상으로하며 최대 250 개의 서로 다른 도메인을 동시에 보호 할 수 있습니다.
  • 와일드 카드 - 단일 도메인 및 그에 수반되는 모든 1 수준 하위 도메인의 보안 - 보유한 수만큼 (무제한).
  • 다중 도메인 와일드 카드 - 모든 기능을 갖춘 SSL / TLS 인증서는 최대 250 개의 다른 도메인과 모든 하위 도메인을 동시에 암호화 할 수 있습니다.

와일드 카드 인증서에 대한 간단한 단어. 와일드 카드는 예외적으로 다용도이며, 무제한의 하위 도메인을 암호화 할 수 있으며 발급 후에 추가되는 새로운 하위 도메인을 보호 할 수도 있습니다. 와일드 카드를 생성 할 때 암호화하려는 하위 도메인 수준에서 별표 (와일드 카드 문자라고도 함)가 사용됩니다. 이는 확인 된 도메인의 해당 URL 수준에있는 모든 하위 도메인이 인증서의 공개 / 개인 키 쌍과 유효하게 연관되어 있음을 나타냅니다.

2- SSL / TLS 인증서 유효성 검사 수준

어떤 서페이스를 커버해야 하는지를 파악한 후에는 얼마나 많은 ID를 어서 트할지 결정해야합니다. 세 가지 유효성 검사 수준이 있는데, 이는 SSL / TLS 인증서를 발급 한 인증 기관에서 귀하와 귀하의 웹 사이트를 검사하는 양을 나타냅니다.

세 가지 유효성 검사 수준 : 도메인 유효성 검사, 조직 유효성 검사 및 확장 유효성 검사

가장 기본적인 검증 단계는 도메인 확인. 이 유효성 검사를 완료하고 인증서를 발급하는 데 단지 몇 분이 걸리지 만 최소한의 신원 정보 (서버를 인증하는 것)를 제공합니다. DV SSL / TLS 인증서가 가장 일반적으로 사용되지만 신원이 부족하기 때문에이를 사용하는 웹 사이트는 중립적 인 브라우저 처리를받습니다.

조직 검증 더 많은 조직적 정보를 제공하여 사이트 방문자가 어디서 정보를 얻을 수 있는지를 알면 그들이 다루고있는 사람에 대해 더 나은 아이디어를 제공합니다. OV SSL / TLS 인증서는 중간 정도의 검사가 필요하지만 중립적 인 브라우저 처리를 피하기 위해 충분한 신원을 주장하지 않습니다. OV SSL 인증서는 전용 IP 주소도 보호 할 수 있습니다. 이들은 엔터프라이즈 환경 및 내부 네트워크에서 일반적으로 사용됩니다.

SSL / TLS 인증서가 주장 할 수있는 대부분의 ID는 확장 유효성 검사 수평. EV SSL / TLS 인증서는 CA의 심층적 인 검사가 필요하지만 웹 브라우저가 확인 된 조직 이름을 브라우저의 주소 표시 줄에 표시하여 고유 한 처리 방법을 적용하는 웹 사이트에 제공 할 충분한 식별 정보를 제공합니다.

유효성 검사 수준 및 기능과 관련하여 고려해야 할 사항 중 하나는 EV SSL / TLS 인증서가 와일드 카드 기능과 함께 판매되지 않는다는 것입니다. 이는 마지막 절에서 설명한 와일드 카드 인증서의 개방형 특성 때문입니다.

인증 기관 지정 및 가격 책정

이제는 무엇이 필요한지 알았으니, 어디서 정보를 얻을 수 있는지 이야기 해 봅시다. 누구나 유효한 SSL / TLS 인증서를 발급 할 수있는 것은 아닙니다. 신뢰할 수있는 인증 기관이나 CA를 거쳐야합니다. CA는 엄격한 업계 요구 사항을 준수해야하며 정기적 인 감사 및 조사를 받아야합니다. 그 이유는 공개 키 인프라가 작동하는 방식 때문입니다. PKI는 SSL / TLS를 뒷받침하는 신뢰 모델이므로 사용자의 브라우저가 SSL / TLS 인증서의 신뢰성을 확인하고 신뢰할 수있는 이유입니다.

동안 PKI와 뿌리를 파헤 치다 이 기사의 범위를 벗어나는 경우 신뢰할 수있는 CA 만 신뢰할 수있는 인증서를 발급 할 수 있다는 것을 알고 있어야합니다. 이것이 당신이 스스로 발행 할 수없고 자기 서명 할 수없는 이유입니다. 브라우저는 수동으로 설정을 조정하지 않고는 브라우저를 신뢰할 수 없습니다.

그러나 어떤 CA를 선택해야합니까?

그것은 당신이 찾고있는 것에 달려 있습니다.

많은 신원을 주장 할 필요가없는 많은 간단한 웹 사이트의 경우 무료 DV SSL / TLS 인증서를 암호화하자. (또는 다른 무료 CA)를 선택하는 것이 좋습니다. 비용은 들지 않으며 필요한만큼 충분합니다.

북쪽에 있거나 기술적으로 정통하지 않은 사용자라면 DigiCert, Sectigo, Entrust Datacard 등과 같은 상업용 인증 기관을 방문해야합니다.

그러나 여기에 있습니다 : 당신은 CA로부터 직접 최고의 가격을 매기는 것이 아닙니다.

여러 CA의 SSL / TLS 인증서를 제공하는 SSL 서비스를 통해 구매함으로써 가격 및 선택의 최상의 조합을 얻을 수 있습니다. 그 이유는 간단합니다.이 SSL 서비스 소매 고객보다 훨씬 저렴한 가격으로 CA의 인증서를 대량 구매할 수 있습니다.. 이를 통해 소비자는 저축을 소비자에게 전달하여 할인 된 가격으로 인증서를 판매 할 수 있습니다.

경우에 따라 85 %만큼 제조업체의 권장 소매 가격을 절약 할 수 있습니다. SSL 서비스를 통해 직접 구매하는 대신.

SSL / TLS의 전용 SSL 서비스는 고객 지원을 개선하고 설치를 도울 수 있으며 웹 사이트에 최상의 보안을 제공하기 위해 구현을 최적화하는 방법을 알고 있습니다.

티켓 시스템을 통해 작업하거나 crowdsourced 지원을위한 오래된 포럼 게시물을 탐색해야하는 무료 CA (심지어 상업용 사이트)와 비교하면 그 값은 분명합니다.

일부 기술 관련 웹 사이트 소유자의 경우 지원 문제는 문제가되지 않습니다. 그리고 당신이 모든 것을 스스로 지원하는 방법을 안다면 자유로운 길을가는 것이 틀림 없습니다.

하지만 다른 사이트 소유자의 경우 인증서 자체에 대한 비용은 줄고 주변에 구축 된 지원 장치에 대해서는 더 많은 비용을 지불해야합니다. 무료 SSL / TLS를 사용하여 높은 유효성 검사 수준 (OV / EV) 또는 고급 기능 (다중 도메인, 와일드 카드)에 액세스 할 수도 없습니다. 상업용 CA 또는 SSL 서비스에서 가져와야합니다.

그래서, 유료인가? 단일 도메인 DV 이상으로 기능 및 유효성 검사를 원하는지 여부는 물론 귀사 또는 귀사의 조직이 기술적으로 얼마나 능숙한지를 파악할 수 있습니다.

SSL / TLS 구매자 가이드 FAQ

Q1. 확장 유효성 검사가 그만한 가치가 있습니까?

많은 웹 사이트에서 EV SSL / TLS 인증서는 비용보다 투자가 많습니다. 최대한의 신원을 밝히고 웹 사이트를 우대하는 브라우저 치료를받을 수있는 다른 방법은 없습니다. 방문자가 웹 사이트에 도착했을 때 주소 표시 줄에 표시된 조직 이름이 심오한 심리적 효과를 나타냅니다. 그 효과는 종이로 계량하기는 어렵지만 설문 조사에 따르면 사람들은 EV가없는 사이트를 방문하는 것보다 EV로 사이트를 방문하는 것이 좋다고 일관되게 생각합니다.

인터넷에서는 모든 것이 중요하므로 웹상에서 신원을 확인하려는 조직이라면 EV SSL / TLS 인증서가 가장 유용한 방법입니다.

Q2. SSL / TLS를 계속 쓰고 있는데 그게 무슨 뜻입니까?

SSL의 약자 보안 소켓 레이어, 그리고 그것은 오늘날 우리의 연결을 안전하게하기 위해 사용하는 암호화 프로토콜의 원래 버전이었습니다. 취약점으로 인해 업계가 드로잉 보드로 다시 돌아 가기 전에 SSL 3.0에 도달했습니다. 전송 계층 보안 (TLS)는 SSL의 후계자로 설계되었습니다.

오늘 우리는 TLS 1.3을 사용 중입니다. SSL 3.0은 거의 완전히 사용되지 않으며 2020 TLS 1.0 및 1.1도 사용되지 않습니다. 오늘날 인터넷은 거의 독점적으로 TLS 프로토콜에 의존하지만, 여전히 구어체로 SSL로 알려져 있습니다.

Q3. SSL / TLS 프로토콜 버전이란 무엇입니까?

이것은 마지막 질문과 관련이 있습니다. SSL과 TLS는 HTTPS 연결을 용이하게하는 두 가지 프로토콜이며 다른 기술과 마찬가지로 새로운 취약점과 공격이 발견 될 때 주기적으로 업데이트해야합니다. SSL 3.0 또는 TLS 1.2가 표시되면 특정 버전의 SSL / TLS 프로토콜을 나타냅니다.

현재 TLS 1.2 및 TLS 1.3을 지원하는 것이 가장 좋습니다. 모든 이전 버전은 일부 악용에 취약한 것으로 밝혀졌습니다.

Q4. Cipher Suites에 대해 무엇을 알아야합니까?

암호 모음은 알고리즘 모음입니다. SSL / TLS 암호화 프로세스 중에 사용됩니다. 여기에는 일종의 공개 키 알고리즘, 메시지 인증 알고리즘 및 대칭 (블록 / 스트림) 암호화 알고리즘이 포함됩니다.

Cipher Suite가 지원해야 할 사항을 결정하기 전에 서버에서 가능한 기능을 알아야합니다. OpenSSL (또는 대체 SSL 소프트웨어) 라이브러리를 가장 최신 버전으로 업데이트 할 수 있습니다. 조언의 말, Elliptic Curve Cryptography를 사용하는 것이 RSA보다 바람직합니다..

Q5. 보증이 중요한가요?

모든 제품에 대해 큰 보증을하는 것이 좋으며 SSL / TLS 업계에서는 가장 관대 한 보증을 제공합니다. 귀하의 인증서를 발급 한 CA가 귀하의 조직 비용이 드는 문제에 봉착 할 경우 비용을 지불합니다. 틀림없이 이것은 일반적으로 SSL / TLS 인증서를 승인하는 것만 큼 일반적인 것은 아니지만, 지적하지 않을 사항이 있습니다.


패트릭 노헤
저자에 관하여 : Patrick Nohe

Patrick Nohe는 마이애미 헤럴드의 기자이자 칼럼니스트로 경력을 쌓기 시작했습니다. 그는 또한 콘텐츠 관리자로도 활동하고 있습니다. SSL 저장소 ™.

WHSR 게스트 소개

이 기사는 게스트 기여자가 작성했습니다. 아래의 저자보기는 전적으로 독자적이며 WHSR의 견해를 반영하지 않을 수 있습니다.