New security requirements adopted by HTTPS certificate industry
New security requirements adopted by HTTPS certificate industry
Posted by Chrome Root Program, Chrome Security Team The Chrome Root Program launched in 2022 as part of Google’s ongoing commitment to up...
security.googleblog.com
- Chrome Root Program 개요
- Google은 2022년 Chrome Root Program을 시작하여 신뢰 가능한 HTTPS 인증서 발급을 위한 보안 정책 및 가이드라인을 수립
- "Moving Forward, Together"라는 로드맵을 통해 웹 PKI(Public Key Infrastructure)의 지속적인 보안 향상 방향을 제시
- 핵심 원칙은 속도, 보안, 안정성, 단순성, 그리고 자동화·오류 감축·양자 내성 대비 등의 방향성 제시
- 새롭게 의무화된 보안 요구사항 (2025년 3월 15일부터 적용)
- Multi-Perspective Issuance Corroboration (MPIC)
- 인증서 발급 전 도메인 소유권 검증을 복수의 지리적 위치 또는 ISP를 통해 수행
- BGP 하이재킹을 통한 위조 인증서 발급 방지 목적
- Princeton 연구팀의 실증적 연구와 사례 기반 위험성 확인 후 CA/Browser Forum SC-067 투표로 채택
- 오픈 소스 기반 Open MPIC 프로젝트를 통해 구현 표준화 진행 중
- Linting (인증서 린팅)
- X.509 인증서에 대한 자동 분석(lint) 수행을 통해 형식 오류, 암호학적 비정합, 산업 표준 미준수 탐지
- zlint, certlint 등 오픈소스 도구 사용 권장
- Meta Linter(pkimetal 등)는 다수 린팅 도구를 통합하여 간편한 배포 및 높은 성능 확보
- CA/Browser Forum SC-075 투표로 채택되어 공개적으로 신뢰된 인증서 발급에 있어 필수 요건으로 적용
- Multi-Perspective Issuance Corroboration (MPIC)
- 향후 계획 및 기대 변화
- 2025년 7월 15일부터 취약한 도메인 제어 검증 방식(DV) 공식 폐지
- 예: 단순한 이메일 기반 인증 방식 등은 보안 리스크로 간주되어 중단 예정
- Chrome Root Program 정책이 "Moving Forward, Together" 로드맵에 더욱 부합하도록 정책 갱신
- 양자 내성 암호(Post-Quantum Cryptography) 기반 PKI 전환 계획도 올해 하반기에 발표 예정
- 2025년 7월 15일부터 취약한 도메인 제어 검증 방식(DV) 공식 폐지
- 결론
- Chrome Root Program의 MPIC와 Linting 의무화는 TLS 인증서의 발급 정확성 및 투명성 강화에 중대한 진전
- 인증기관(CA), 브라우저 벤더, 보안 전문가 간 협업을 통해 보다 안전한 HTTPS 생태계 확보
- 양자 컴퓨팅 시대에 대비한 PKI 강화가 차세대 목표로 떠오르고 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 인크루트 개인정보 유출 과징금 소송 패소 사례 분석 (0) | 2025.05.08 |
|---|---|
| 우리카드 개인정보 무단 활용 사건과 과징금 부과 분석 (1) | 2025.05.08 |
| RansomHub의 EDRKillShifter 도구, Medusa-BianLian-Play 랜섬웨어 그룹과의 연계 확인 (0) | 2025.05.08 |
| DeepSeek 사용자 노린 가짜 Google 광고 기반 악성코드 유포 캠페인 분석 (0) | 2025.05.08 |
| Vroom by YouX, AWS S3 설정 오류로 2.7만 건 개인정보 유출 (0) | 2025.05.08 |