StartSSL 인증서 사용 불가...

얼마 전에 StartSSL에서 SSL인증서를 발급받고 웹사이트에 설치를 하였습니다.

잘 동작하였는데... 이상하게 iPhone(iOS 10.2)에서만 ERR_CERT_INVALID오류가 나는 것이였습니다...

검색하고 검색해서 찾은건 Non-standard port의 메일서버가 작동하지 않는다는 것...

그래서 저도 (저도 https포트를 443이 아닌 다른 포트를 사용했었습니다.)이 때문인줄 알았습니다...

그런데 더 알아보니 StartSSL인증서 때문이었습니다...

이유인 즉슨...

StartSSL가 WoSign에 (쥐도새도모르게...)인수합병되었는데

WoSign의 인증서 발급 시스템에 보안적 문제가 있다고 합니다.

취약한 SHA-1을 사용하고, 중국 자체적으로 만든 Hash알고리즘을 사용해서 몇개의 인증서를 발급하고, 같은 ID의 인증서를 다수 발급하는 등..

(이런말 하면 잡혀갈지 모르겠지만 혹시 중국이 SSL통신을 무력화하기 위해

쉽게 충돌이 가능한 Hash알고리즘을 사용해서 무료 인증서를 배포했을지도...)

쨋든 이러한 문제로 인해 WoSign과 StartSSL을 신뢰하지 못하게 되었고

Mozilla가 일단 임시로 1년동안 WoSign의 CA을 중지했다고 공식 발표했습니다.

무료로 사용가능한 StartSSL... 참 좋았는데..ㅠㅠ 아쉽네요...

갑짜기 WoSign이 끼어들어서 왜 문제없는 StartSSL을 이상하게 만들었는지...

저도 그래서 Let's Encrypt으로 바꿨는데...

사실 저는 Let's Encrypt을 별로 좋아하지 않습니다..ㅎ

이걸 사용하려면 서버에 root권한으로 프로그램을 실행해야 하는데... 참... 찜찜해서요...ㅎ

root권한을 함부로 사용하는 것이...

악의적인 목적을 품었다면 서버에 백도어를 설치할 수도 있는 것이구...

물론 OpenSource이라서 그런짓을 하진 않았을 겁니다.. 걸리면 신뢰도 잃고 X되는건데..

하지만... 마음만 먹으면 소스에 취약점을 만들고 겉으로는 보이지 않게 하는것도 가능하긴 한데..

쨋든... root권한이라 찜찜하지만.. 어쩔 수 없이 사용했습니다..ㅎㅎ

저처럼 찜찜한 분이 계시다면... 가상 rootfs을 만들고 chroot을 통해 프로그램을 사용하시거나

(물론 chroot도 취약해서 아주 쉽게 뚫리지만..ㅎㅎ)

docker을 이용하는 방법을... 추천합니다..ㅎㅎ

참고자료 : Alyac Blog : http://blog.alyac.co.kr/820