사설 ssl 에 관련하여 이해가 가질 않습니다.

쓰기

사설 ssl 에 관련하여 이해가 가질 않습니다.

검은블랙

2018-05

2018-05-04 18:23:33

조회 4356 추천 0

일반적으로 CA를 끼고 하는 인증과 https 통신과정은 다 이해를 했다고 생각 했는데 막상 openSSL 로 개인키와 인증서를 생성해서

테스트 서버를 구동하다보니 몇가지 의문점이 생겨서 고수님들께 몇가지 질문을드리려고 합니다.

1. 도대체 client(browser)는 서버로부터 받은 인증서를 어떻게 복호화 하는가?

CA에게 인증받은 사이트의 https 통신은 다음의 일련의 과정을 거치는 것으로 알고 있습니다.

(1)일반적으로 CA의 개인키로 암호화된 인증서(사이트 정보 + 사이트의 공개키)는 서버에서 가지고 있음

(2)브라우져는 공인된 CA의 공개키를 가지고 있음

(3)client 요청이 들어오면 사이트의 인증서를 서버가 client에게 전송 시킴

(4)client는 공인된CA의 공개키로 CA의 개인키에 의해서 암호화된 사이트의 인증서(사이트정보 + 사이트의 공개키)를 복호화

(5)CA의 공개키로 복호화가 되었으므로 신뢰성을 확인하고 복호화된 사이트의 공개키로 HTTPS 통신 제반요건 확보

대략적으로 위와 같은 순서체계로 진행되는것으로 알고 있습니다..

문제는 서버가 자체 Root CA가 되어 인증서를 만들경우 CA에게 인증받은것이 아니기에 브라우져(client)는 CA의 공개키가 당연히 없는상태에서

client는 사설인증서로 구축된 서버에 접속했을때 똑같이 사설인증서를 전송받는걸로 알고 있습니다.

문제는 도대체 이 사이트 인증서를 어떻게 복호화 하는지요?

사설로 ROOT CA 인 사이트에 접속했을때는 공개키도 같이 서버로부터 전송을 받게 되는 구조 인가요? 그렇지 않고서야 위(4)번부터 어떻게 진행이

되는지 궁금 합니다. 아무리 생각해도 답이 안나와서 고수님들의 지도편달 부탁 드립니다.

짧은글 일수록 신중하게.



불펭 2018-05 서버엔 키와 인증서 셋트 pfx 의 인증서를 설치하게되고 클라이언트에서 서버에 접속하면 알수없는 인증서가나올거고요 그 인증서를 클라이언트에 설치하심 공개키가 브라우저에 생성되고 그걸로 데이터 복호화하죠 서버엔 키와 인증서 셋트 pfx 의 인증서를 설치하게되고 클라이언트에서 서버에 접속하면 알수없는 인증서가나올거고요 그 인증서를 클라이언트에 설치하심 공개키가 브라우저에 생성되고 그걸로 데이터 복호화하죠



후리부야 2018-05 빠른답변 감사합니다. 근데 그 인증서는 서버의 개인키로 암호화 된건데 클라이 언트 측에서 어떻게 복호화를 시키나요? 위에서 말씀하신 '그 인증서를 클라이언트에 설치하심' 이라는 의미를 잘 모르겠습니다 ㅠㅠ 빠른답변 감사합니다. 근데 그 인증서는 서버의 개인키로 암호화 된건데 클라이 언트 측에서 어떻게 복호화를 시키나요? 위에서 말씀하신 '그 인증서를 클라이언트에 설치하심' 이라는 의미를 잘 모르겠습니다 ㅠㅠ



불펭 2018-05 브라우저로 접속하시는거면 서버에서 인증서를 줍니다 그걸 브라우저에서 설치하시거나 직접만드신 cer파일을 설치하세요 로컬에 사설인증서를 설치하지 않으면 보안 통신 안됩니다 브라우저로 접속하시는거면 서버에서 인증서를 줍니다 그걸 브라우저에서 설치하시거나 직접만드신 cer파일을 설치하세요 로컬에 사설인증서를 설치하지 않으면 보안 통신 안됩니다



후리부야 2018-05 네 그런데 handshake 과정에서 브라우져는 사설인증서를 어떻게 복호화 시키는지가 궁금합니다. 일반적으로 공인 CA를 낀 상태 말고 사설로 만든 인증서일때요 네 그런데 handshake 과정에서 브라우져는 사설인증서를 어떻게 복호화 시키는지가 궁금합니다. 일반적으로 공인 CA를 낀 상태 말고 사설로 만든 인증서일때요



불펭 2018-05 사설인증서는 ca가 없어요 공인ca는 고민에서 빼세요 ㅎ 사설인증서는 ca가 없어요 공인ca는 고민에서 빼세요 ㅎ



다람쥐v 2018-05 ca의 개인키로 암호화(서명)하는 건 서버 인증서 자체가 아니라 sha 같은 해시함수로 서버 인증서의 주요 필드값을 해싱하고 얻어진 지문(fingerprint)입니다. 브라우저(클라이언트) 접속 시 서버인증서는 ca의 개인키로 서명된 지문과 함께 평문으로 전달됩니다. ca의 개인키로 암호화(서명)하는 건 서버 인증서 자체가 아니라 sha 같은 해시함수로 서버 인증서의 주요 필드값을 해싱하고 얻어진 지문(fingerprint)입니다. 브라우저(클라이언트) 접속 시 서버인증서는 ca의 개인키로 서명된 지문과 함께 평문으로 전달됩니다.



후리부야 2018-05 아하 인증서 자체는 암호화 되는게 아니라 hmac 이랑 유사하게 인증서의 해쉬값을 개인키로 암호화 해서 인증서 자체 평문과 함께 client로 전달된다는 말씀이시군요 그럼 여기서 (평문으로 전달된) 서버 인증서에서 바로 공개키를 추출 가능한가요? 아하 인증서 자체는 암호화 되는게 아니라 hmac 이랑 유사하게 인증서의 해쉬값을 개인키로 암호화 해서 인증서 자체 평문과 함께 client로 전달된다는 말씀이시군요 그럼 여기서 (평문으로 전달된) 서버 인증서에서 바로 공개키를 추출 가능한가요?



다람쥐v 2018-05 네 그럼요~ 네 그럼요~



후리부야 2018-05 생각보다 많은 사람들이 잘못 알고 있네요 정확한 답변 감사합니다! 생각보다 많은 사람들이 잘못 알고 있네요 정확한 답변 감사합니다!



나파이강승훈 2018-05 잉? 잉?



후리부야 2018-05 아 블로그 같은데서 잘못 설명한 글들이 보여서 한말입니다 ㅋㅋㅋ 아 블로그 같은데서 잘못 설명한 글들이 보여서 한말입니다 ㅋㅋㅋ



나파이강승훈 2018-05 사실 이해가 그리 쉽지는 않습니다. 유튜브 동영상으로 설명해주는걸 보시면 이해가 좀 될꺼에요. 먼저 HTTPS같은거에 쓰이는 방식은 Asymmetric Encryption 이라고 해서 인코딩 키와 디코딩 키가 다릅니다. 하지만 인코딩 키로 디코딩 키를 만들 수 없어요. 그리고 통신이 시작하기 전에 먼저 소개, 인증, 확인 이렇게 세가지를 서로 합니다. 그냥 본인이 만든 인증서같은경우에는 확인이 안되기때문에 보통 처음에 https페이지를 열면 에러같은 경고가 뜨잖아요. 확인은 제3자가 해주는것이기때문에 그런건데 제가 알기로는 한국에서는 그걸 해주는 기관이 없는걸로 알고있습니다. 세계에 몇군데 없어요 그게... 그걸 피하기위해서 한국에서는 SSL대신 이상한 activeX들을 썼던거고.... 지금도 그런걸 많이 쓰고 있지요... 이제는 SSL/TLS 를 쓰고 있는데도 그런 이상한 프로그램들을 더 돌리고 있으니까 우리나라의 인터넷 통신은 무지하게 안전한거겠죠? (정말로?) 뭐 하여간 그렇습니다. 구글이나 네이버에 SSL HTTPS HOW WORKS 뭐 이정도로 검색하면 많이 뜰꺼에요. 설명이 좀 간단한것도 있고 너무 복잡한것도 있을꺼고... 그런데 주로 그림으로 된걸 보면 이해가 빨리됩니다... 화이팅! 사실 이해가 그리 쉽지는 않습니다. 유튜브 동영상으로 설명해주는걸 보시면 이해가 좀 될꺼에요. 먼저 HTTPS같은거에 쓰이는 방식은 Asymmetric Encryption 이라고 해서 인코딩 키와 디코딩 키가 다릅니다. 하지만 인코딩 키로 디코딩 키를 만들 수 없어요. 그리고 통신이 시작하기 전에 먼저 소개, 인증, 확인 이렇게 세가지를 서로 합니다. 그냥 본인이 만든 인증서같은경우에는 확인이 안되기때문에 보통 처음에 https페이지를 열면 에러같은 경고가 뜨잖아요. 확인은 제3자가 해주는것이기때문에 그런건데 제가 알기로는 한국에서는 그걸 해주는 기관이 없는걸로 알고있습니다. 세계에 몇군데 없어요 그게... 그걸 피하기위해서 한국에서는 SSL대신 이상한 activeX들을 썼던거고.... 지금도 그런걸 많이 쓰고 있지요... 이제는 SSL/TLS 를 쓰고 있는데도 그런 이상한 프로그램들을 더 돌리고 있으니까 우리나라의 인터넷 통신은 무지하게 안전한거겠죠? (정말로?) 뭐 하여간 그렇습니다. 구글이나 네이버에 SSL HTTPS HOW WORKS 뭐 이정도로 검색하면 많이 뜰꺼에요. 설명이 좀 간단한것도 있고 너무 복잡한것도 있을꺼고... 그런데 주로 그림으로 된걸 보면 이해가 빨리됩니다... 화이팅!

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1618/5678

번호	제목Page 1618/5678	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4940617	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4940617 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1477490	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1477490 1 백메가
81212	메모리 갯수에 관련하여. (4)	박문형	2014-07	3732	0
메모리 갯수에 관련하여. (4) 2014-07 3732 1 박문형
81211	초보 질문 입니다. (3)	제온5472	2015-05	3732	0
초보 질문 입니다. (3) 2015-05 3732 1 제온5472
81210	미군텐트 어디서 구할 수 있을까요? (9)	이희주	2019-12	3732	0
미군텐트 어디서 구할 수 있을까요? (9) 2019-12 3732 1 이희주
81209	t7610그래픽 카드 사이즈 (6)	hater	2017-10	3732	0
t7610그래픽 카드 사이즈 (6) 2017-10 3732 1 hater
81208	휴대폰 GPS를 이용하여 구글지도에 표출하려면 어떻게 해야하는지요? (4)	2FluF	2018-01	3732	0
휴대폰 GPS를 이용하여 구글지도에 표출하… (4) 2018-01 3732 1 2FluF
81207	55인치 TV를 통유리창에 밀착 시킬 방법이 있을까요?? (추가) (17)	블루영상	2020-01	3732	0
55인치 TV를 통유리창에 밀착 시킬 방법이… (17) 2020-01 3732 1 블루영상
81206	하스웰-E와 하스웰-EP의 차이는? (1)	바르톡	2016-10	3732	0
하스웰-E와 하스웰-EP의 차이는? (1) 2016-10 3732 1 바르톡
81205	PCI 나 PCI-x 용 IDE 컨트롤러 카드가 있나요? (6)	VSPress	2014-06	3732	0
PCI 나 PCI-x 용 IDE 컨트롤러 카드가 있… (6) 2014-06 3732 1 VSPress
81204	ERROR 메시지 원인분석 (6)	metaljw	2014-07	3732	0
ERROR 메시지 원인분석 (6) 2014-07 3732 1 metaljw
81203	자작나스 사양 질문입니다. (1)	KDHNOVA	2016-03	3732	0
자작나스 사양 질문입니다. (1) 2016-03 3732 1 KDHNOVA
81202	왜 한국어판 윈도우10은 10240에서 멈췄나요....? (1)	윈도우10	2015-07	3732	0
왜 한국어판 윈도우10은 10240에서 멈췄나… (1) 2015-07 3732 1 윈도우10
81201	혹시 엘쥐기가인터넷 쓰시는회원님들.. (5)	햇님반변강쇠	2015-06	3732	0
혹시 엘쥐기가인터넷 쓰시는회원님들.. (5) 2015-06 3732 1 햇님반변강쇠
81200	Z620 새SSD 드라이브 인식을 못합니다. (7)	지안	2019-12	3732	0
Z620 새SSD 드라이브 인식을 못합니다. (7) 2019-12 3732 1 지안
81199	삼성 노트북 X30 메인보드 구할 수 있나요?? (4)	꾸비	2015-08	3732	0
삼성 노트북 X30 메인보드 구할 수 있나요… (4) 2015-08 3732 1 꾸비
81198	제 컴터메모리는 ddr3. pc3 인데 ddr2넣어도 되는지요? (8)	지도리	2016-05	3732	0
제 컴터메모리는 ddr3. pc3 인데 ddr2넣… (8) 2016-05 3732 1 지도리
81197	Firmware 프로그램 다운로드 및 지그 검사용 PC (7)	백만스물하나	2018-03	3732	0
Firmware 프로그램 다운로드 및 지그 검사… (7) 2018-03 3732 1 백만스물하나
81196	웹서버 DB서버 구축 질문 입니다. (1)	최창현	2015-09	3732	0
웹서버 DB서버 구축 질문 입니다. (1) 2015-09 3732 1 최창현
81195	mp3 정리정돈 어떻게 하시나요 ? (7)	이희권	2015-07	3732	0
mp3 정리정돈 어떻게 하시나요 ? (7) 2015-07 3732 1 이희권
81194	톰캣 로그레벨 운영급으로 간단명료하게 이쁘게 짜논 스크립트 혹 없나요?	겨울나무	2015-10	3732	0
톰캣 로그레벨 운영급으로 간단명료하게 … 2015-10 3732 1 겨울나무
81193	슈퍼마이크로 X8DAL-i 단종 후 A/S문제 (리더스CNS) (7)	박호원	2018-07	3732	0
슈퍼마이크로 X8DAL-i 단종 후 A/S문제 (… (7) 2018-07 3732 1 박호원