코모도(comodo) CA의 AddTrust External 루트 인증서 만료 -> 섹티코(Sectigo) CA로 변경

• 한국 시간 5월 30일 오후 7시 48분(5월 30일 오전 10시 48분 GMT)이후 Comodo의 AddTrust External CA Root가 만료
• 2017년 10월 프랜시스코 파트너스(Francisco Partners)가 코모도 CA(Comodo CA)를 인수 → 2018년 11월 코모도(Comodo CA)를 섹티고(Sectigo)로 리브랜딩
• 기존 코모도 사의 루트 인증서 AddTrust External CA Root를 USERTrust RSA Certification Authority로 변경 → 기존 인증서는 2020년 5월 30일에 만료
• CA 인증서 만료가 다양한 서비스 및 시스템에 영향을 줌
• 과거 Root CA 만료 자료로 참고용 → HTTPS를 사용하는 고객에 이슈가 발생 가능하기에 사전 정리
  
  
  

모던 브라우저와 레거시 브라우저의 인증서 체인 차이(출처: Sectigo 공식 문서)

• AddTrust 루트 인증서가 만료 되더라도 대체 루트/체인과 교차서명(Cross-Sigining)을 통해서 95% 이상 대부분의 접속에는 문제 X
• "오래된 구형 디바이스 또는 해당 SW 공급사에서 제공된 최신 업데이트를 적용하지 않은" PC/Mobile/프레임워크 등 에서 접속 문제 발생 가능
• USERTRust 루트 인증서뿐만 아니라 AddTrust 인증서까지 인증서 체인을 검증하는 레거시 시스템의 경우 문제가 발생 가능
  

  

  
  

Comodo의 AddTrust 인증서까지 확인하는 다양한 서비스에 영향이 발생

• 참고 트위터 URL → https://twitter.com/__agwa/timelines/1266777818811322368
• 데이터독 에이전트도 일부 조건에서 영향 → https://github.com/DataDog/dd-agent/issues/3881
• macOS에서도 코모도 인증서를 사용하는 사이트 curl 명령어로 실행할 경우 인증서 만료로 실패 → https://security.stackexchange.com/questions/232445/https-connection-to-specific-sites-fail-with-curl-on-macos
  
  
  

Comodo의 AddTrust 인증서 대체하는 AAA 루트/체인 인증서

• 기존에 배포되었던 Sectigo/Comodo 의 "AddTrust External CA Root" 루트 인증서가 05/30 만료 예정
• SecureSign 에서는 루트 인증서 만료에 대응하여, 기존 AddTrust 대신 대체 AAA 루트/체인 인증서로 2019/12/03 부터 첨부 제공
  1. AddTrust External CA Root 루트 만료 관련 (추가 안내 사항) (2020/05/31) → https://www.securesign.kr/supports/announceView/56
  2. Sectigo 제품 발급시 AAA 루트/체인 인증서 파일로 변경 첨부 (2019/12/03) → https://www.securesign.kr/supports/announceView/48
  3. Sectigo AddTrust External CA Root Expiring May 30, 2020 → https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT
  4. Sectigo 루트/체인(중개) 인증서 변경 대상 인증서 매칭표 → https://www.securesign.kr/guides/kb/68
     
     
     

고객 조치 사항

1. 서버 인증서 설정시, 루트를 AddTrust 로 적용한 경우

• 구형 안드로이드등의 모바일 접속 문제가 발생 : 웹서버에서 AAA 루트/체인 인증서로 교체 적용 필요
• 서버간 SSL 통신시 접속 문제 발생
  1. 웹서버 → 루트/체인 인증서 교체 필요 (인증서 설치된 방화벽등 기타 장비도 교체 필요)
  2. 클라이언트 서버 → 신규 루트인증서 추가 설치 필요
  3. Windows PC 에서 접속 문제가 발생 → 각 PC 자체적으로 루트인증서 설치 조치 필요

2. 서버인증서 발급시, AAA 루트로 포함(적용)되어 있는 경우

• 서버에서 조치할 작업 X
• Windows PC 에서 접속 문제가 발생 → 각 PC 자체적으로 루트인증서 설치 조치 필요
  
  
  

※ 참고

• 참고 URL : https://www.sslcert.co.kr/supports/announceView/53
• 참고 URL : https://github.com/DataDog/dd-agent/issues/3881