사설 ssl 에 관련하여 이해가 가질 않습니다.

쓰기

사설 ssl 에 관련하여 이해가 가질 않습니다.

검은블랙

2018-05

2018-05-04 18:23:33

조회 4132 추천 0

일반적으로 CA를 끼고 하는 인증과 https 통신과정은 다 이해를 했다고 생각 했는데 막상 openSSL 로 개인키와 인증서를 생성해서

테스트 서버를 구동하다보니 몇가지 의문점이 생겨서 고수님들께 몇가지 질문을드리려고 합니다.

1. 도대체 client(browser)는 서버로부터 받은 인증서를 어떻게 복호화 하는가?

CA에게 인증받은 사이트의 https 통신은 다음의 일련의 과정을 거치는 것으로 알고 있습니다.

(1)일반적으로 CA의 개인키로 암호화된 인증서(사이트 정보 + 사이트의 공개키)는 서버에서 가지고 있음

(2)브라우져는 공인된 CA의 공개키를 가지고 있음

(3)client 요청이 들어오면 사이트의 인증서를 서버가 client에게 전송 시킴

(4)client는 공인된CA의 공개키로 CA의 개인키에 의해서 암호화된 사이트의 인증서(사이트정보 + 사이트의 공개키)를 복호화

(5)CA의 공개키로 복호화가 되었으므로 신뢰성을 확인하고 복호화된 사이트의 공개키로 HTTPS 통신 제반요건 확보

대략적으로 위와 같은 순서체계로 진행되는것으로 알고 있습니다..

문제는 서버가 자체 Root CA가 되어 인증서를 만들경우 CA에게 인증받은것이 아니기에 브라우져(client)는 CA의 공개키가 당연히 없는상태에서

client는 사설인증서로 구축된 서버에 접속했을때 똑같이 사설인증서를 전송받는걸로 알고 있습니다.

문제는 도대체 이 사이트 인증서를 어떻게 복호화 하는지요?

사설로 ROOT CA 인 사이트에 접속했을때는 공개키도 같이 서버로부터 전송을 받게 되는 구조 인가요? 그렇지 않고서야 위(4)번부터 어떻게 진행이

되는지 궁금 합니다. 아무리 생각해도 답이 안나와서 고수님들의 지도편달 부탁 드립니다.

짧은글 일수록 신중하게.



불펭 2018-05 서버엔 키와 인증서 셋트 pfx 의 인증서를 설치하게되고 클라이언트에서 서버에 접속하면 알수없는 인증서가나올거고요 그 인증서를 클라이언트에 설치하심 공개키가 브라우저에 생성되고 그걸로 데이터 복호화하죠 서버엔 키와 인증서 셋트 pfx 의 인증서를 설치하게되고 클라이언트에서 서버에 접속하면 알수없는 인증서가나올거고요 그 인증서를 클라이언트에 설치하심 공개키가 브라우저에 생성되고 그걸로 데이터 복호화하죠



후리부야 2018-05 빠른답변 감사합니다. 근데 그 인증서는 서버의 개인키로 암호화 된건데 클라이 언트 측에서 어떻게 복호화를 시키나요? 위에서 말씀하신 '그 인증서를 클라이언트에 설치하심' 이라는 의미를 잘 모르겠습니다 ㅠㅠ 빠른답변 감사합니다. 근데 그 인증서는 서버의 개인키로 암호화 된건데 클라이 언트 측에서 어떻게 복호화를 시키나요? 위에서 말씀하신 '그 인증서를 클라이언트에 설치하심' 이라는 의미를 잘 모르겠습니다 ㅠㅠ



불펭 2018-05 브라우저로 접속하시는거면 서버에서 인증서를 줍니다 그걸 브라우저에서 설치하시거나 직접만드신 cer파일을 설치하세요 로컬에 사설인증서를 설치하지 않으면 보안 통신 안됩니다 브라우저로 접속하시는거면 서버에서 인증서를 줍니다 그걸 브라우저에서 설치하시거나 직접만드신 cer파일을 설치하세요 로컬에 사설인증서를 설치하지 않으면 보안 통신 안됩니다



후리부야 2018-05 네 그런데 handshake 과정에서 브라우져는 사설인증서를 어떻게 복호화 시키는지가 궁금합니다. 일반적으로 공인 CA를 낀 상태 말고 사설로 만든 인증서일때요 네 그런데 handshake 과정에서 브라우져는 사설인증서를 어떻게 복호화 시키는지가 궁금합니다. 일반적으로 공인 CA를 낀 상태 말고 사설로 만든 인증서일때요



불펭 2018-05 사설인증서는 ca가 없어요 공인ca는 고민에서 빼세요 ㅎ 사설인증서는 ca가 없어요 공인ca는 고민에서 빼세요 ㅎ



다람쥐v 2018-05 ca의 개인키로 암호화(서명)하는 건 서버 인증서 자체가 아니라 sha 같은 해시함수로 서버 인증서의 주요 필드값을 해싱하고 얻어진 지문(fingerprint)입니다. 브라우저(클라이언트) 접속 시 서버인증서는 ca의 개인키로 서명된 지문과 함께 평문으로 전달됩니다. ca의 개인키로 암호화(서명)하는 건 서버 인증서 자체가 아니라 sha 같은 해시함수로 서버 인증서의 주요 필드값을 해싱하고 얻어진 지문(fingerprint)입니다. 브라우저(클라이언트) 접속 시 서버인증서는 ca의 개인키로 서명된 지문과 함께 평문으로 전달됩니다.



후리부야 2018-05 아하 인증서 자체는 암호화 되는게 아니라 hmac 이랑 유사하게 인증서의 해쉬값을 개인키로 암호화 해서 인증서 자체 평문과 함께 client로 전달된다는 말씀이시군요 그럼 여기서 (평문으로 전달된) 서버 인증서에서 바로 공개키를 추출 가능한가요? 아하 인증서 자체는 암호화 되는게 아니라 hmac 이랑 유사하게 인증서의 해쉬값을 개인키로 암호화 해서 인증서 자체 평문과 함께 client로 전달된다는 말씀이시군요 그럼 여기서 (평문으로 전달된) 서버 인증서에서 바로 공개키를 추출 가능한가요?



다람쥐v 2018-05 네 그럼요~ 네 그럼요~



후리부야 2018-05 생각보다 많은 사람들이 잘못 알고 있네요 정확한 답변 감사합니다! 생각보다 많은 사람들이 잘못 알고 있네요 정확한 답변 감사합니다!



나파이강승훈 2018-05 잉? 잉?



후리부야 2018-05 아 블로그 같은데서 잘못 설명한 글들이 보여서 한말입니다 ㅋㅋㅋ 아 블로그 같은데서 잘못 설명한 글들이 보여서 한말입니다 ㅋㅋㅋ



나파이강승훈 2018-05 사실 이해가 그리 쉽지는 않습니다. 유튜브 동영상으로 설명해주는걸 보시면 이해가 좀 될꺼에요. 먼저 HTTPS같은거에 쓰이는 방식은 Asymmetric Encryption 이라고 해서 인코딩 키와 디코딩 키가 다릅니다. 하지만 인코딩 키로 디코딩 키를 만들 수 없어요. 그리고 통신이 시작하기 전에 먼저 소개, 인증, 확인 이렇게 세가지를 서로 합니다. 그냥 본인이 만든 인증서같은경우에는 확인이 안되기때문에 보통 처음에 https페이지를 열면 에러같은 경고가 뜨잖아요. 확인은 제3자가 해주는것이기때문에 그런건데 제가 알기로는 한국에서는 그걸 해주는 기관이 없는걸로 알고있습니다. 세계에 몇군데 없어요 그게... 그걸 피하기위해서 한국에서는 SSL대신 이상한 activeX들을 썼던거고.... 지금도 그런걸 많이 쓰고 있지요... 이제는 SSL/TLS 를 쓰고 있는데도 그런 이상한 프로그램들을 더 돌리고 있으니까 우리나라의 인터넷 통신은 무지하게 안전한거겠죠? (정말로?) 뭐 하여간 그렇습니다. 구글이나 네이버에 SSL HTTPS HOW WORKS 뭐 이정도로 검색하면 많이 뜰꺼에요. 설명이 좀 간단한것도 있고 너무 복잡한것도 있을꺼고... 그런데 주로 그림으로 된걸 보면 이해가 빨리됩니다... 화이팅! 사실 이해가 그리 쉽지는 않습니다. 유튜브 동영상으로 설명해주는걸 보시면 이해가 좀 될꺼에요. 먼저 HTTPS같은거에 쓰이는 방식은 Asymmetric Encryption 이라고 해서 인코딩 키와 디코딩 키가 다릅니다. 하지만 인코딩 키로 디코딩 키를 만들 수 없어요. 그리고 통신이 시작하기 전에 먼저 소개, 인증, 확인 이렇게 세가지를 서로 합니다. 그냥 본인이 만든 인증서같은경우에는 확인이 안되기때문에 보통 처음에 https페이지를 열면 에러같은 경고가 뜨잖아요. 확인은 제3자가 해주는것이기때문에 그런건데 제가 알기로는 한국에서는 그걸 해주는 기관이 없는걸로 알고있습니다. 세계에 몇군데 없어요 그게... 그걸 피하기위해서 한국에서는 SSL대신 이상한 activeX들을 썼던거고.... 지금도 그런걸 많이 쓰고 있지요... 이제는 SSL/TLS 를 쓰고 있는데도 그런 이상한 프로그램들을 더 돌리고 있으니까 우리나라의 인터넷 통신은 무지하게 안전한거겠죠? (정말로?) 뭐 하여간 그렇습니다. 구글이나 네이버에 SSL HTTPS HOW WORKS 뭐 이정도로 검색하면 많이 뜰꺼에요. 설명이 좀 간단한것도 있고 너무 복잡한것도 있을꺼고... 그런데 주로 그림으로 된걸 보면 이해가 빨리됩니다... 화이팅!

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

21/5590

번호	제목Page 21/5590	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (715)	정은준1	2014-05	4479410	0
[필독] 처음 오시는 분을 위한 안내 (715) 2014-05 4479410 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1031100	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1031100 1 백메가
111387	여러가지 파일(창)을 열어두고 작업을 합니다. (8)	Rich	03-20	506	0
여러가지 파일(창)을 열어두고 작업을 합… (8) 03-20 506 1 Rich
111386	DDR4 방열판 M.2(2280)에 맞을까요? (8)	딥마인드	03-20	495	0
DDR4 방열판 M.2(2280)에 맞을까요? (8) 03-20 495 1 딥마인드
111385	시놀로지 DS418 최대 용량이 몇TB일까요? (단일볼륨과 원시용량의 차이) (5)	땅쟁이	03-20	517	0
시놀로지 DS418 최대 용량이 몇TB일까요? … (5) 03-20 517 1 땅쟁이
111384	첸브로 하드 백플레인에 있는 헤더 용도가 뭘까요?? (8)	암굴왕	03-20	476	0
첸브로 하드 백플레인에 있는 헤더 용도가… (8) 03-20 476 1 암굴왕
111383	과거 ide 하드디스크는 어떻게 확장해서 사용했나요? (11)	inquisitive	03-20	581	0
과거 ide 하드디스크는 어떻게 확장해서 … (11) 03-20 581 1 inquisitive
111382	과거 ide 하드디스크는 어떻게 확장해서 사용했나요? (1)	박문형	03-20	388	0
과거 ide 하드디스크는 어떻게 확장해서 … (1) 03-20 388 1 박문형
111381	포티나 팔로알토, 테스트 라이센스로 어디까지 가능한가요?	osthek83	03-20	271	0
포티나 팔로알토, 테스트 라이센스로 어디… 03-20 271 1 osthek83
111380	리눅스 SSD 불량 문의 (4)	화란	03-20	458	0
리눅스 SSD 불량 문의 (4) 03-20 458 1 화란
111379	[ 미국 직구 ] 관세 및 부가세 (9)	전설속의미…	03-20	472	0
[ 미국 직구 ] 관세 및 부가세 (9) 03-20 472 1 전설속의미…
111378	ODD 케이스 (13)	미담	03-20	411	0
ODD 케이스 (13) 03-20 411 1 미담
111377	PC부품 담배냄새 빼는 좋은 방법이 뭐가 있을까요? ㅠㅠ (24)	여수I완스	03-20	742	0
PC부품 담배냄새 빼는 좋은 방법이 뭐가 … (24) 03-20 742 1 여수I완스
111376	인코딩 (7)	미담	03-20	397	0
인코딩 (7) 03-20 397 1 미담
111375	미니 PC 제품 추천받습니다 (12)	dateno1	03-20	494	1
미니 PC 제품 추천받습니다 (12) 03-20 494 1 dateno1
111374	Avago 3108raid raid6 인데 리빌드중 백업 카피해도 괜찮을까요? (12)	새로운차원	03-19	453	0
Avago 3108raid raid6 인데 리빌드중 백업… (12) 03-19 453 1 새로운차원
111373	혹시 아파트 베란다나 가정집에 태양광 발전기 설치하신분 있으신가요? (10)	기억을머금…	03-19	967	0
혹시 아파트 베란다나 가정집에 태양광 발… (10) 03-19 967 1 기억을머금…
111372	대용량 스토리지 도입 관련 질문드립니다. (12)	햇살한스푼	03-19	621	0
대용량 스토리지 도입 관련 질문드립니다. (12) 03-19 621 1 햇살한스푼
111371	supoer micro blade (4)	lenux8	03-19	434	0
supoer micro blade (4) 03-19 434 1 lenux8
111370	공부목적 간단한 홈인프라 구성중입니다. 조언부탁드립니다. (16)	븍띤	03-19	597	0
공부목적 간단한 홈인프라 구성중입니다. … (16) 03-19 597 1 븍띤
111369	혹시 노트북 무선 와이파이 잡을때 맥주소가 계속 바뀔수가 있을까요? (3)	SouthH	03-19	407	0
혹시 노트북 무선 와이파이 잡을때 맥주소… (3) 03-19 407 1 SouthH
111368	리버스 프록시 환경에서 fail2ban 적용에 대한 고민 (5)	하늘너머	03-19	327	0
리버스 프록시 환경에서 fail2ban 적용에 … (5) 03-19 327 1 하늘너머