certificate

인증기관 허가(CAA, Certificate Authority Authorization)

2020-01-30 KENNETH 0

인증기관 허가(CAA, Certificate Authority Authorization) 참조URL(한글) : https://letsencrypt.org/ko/docs/caa/ 참조URL(영문) : https://letsencrypt.org/docs/caa/   개요 (letsencrypt 사이트 발췌… 귀챦아서.. ㅎ) CAA는 사이트 소유자가 도메인 이름을 포함한 인증서를 발급할 수 있는 CA (인증 기관)를 지정할 수 있도록 하는 DNS 레코드 유형입니다. CA가 의도하지 않은 인증서 오용의 위험을 줄이기 위해 RFC 6844에 의해 2013년에 표준화되었습니다. 기본적으로 모든 공용 CA는 공용 DNS의 모든 도메인 이름에 대한 인증서를 발급할 수 있습니다 (단, 해당 도메인 이름의 제어를 확인한 경우). 즉 많은 공용 CA의 유효성 검사 프로세스 중 하나에 버그가 있는 경우, 모든 도메인 이름이 잠재적으로 영향을 받습니다. CAA는 도메인 소유자가 이 위험을 줄일 수 있는 방법을 제공합니다.   설명하는것은 여기 까지고.. ㅎ 좀 극단적으로 표현하자면 내 사이트의 인증서는 “여기(발급업체)” 에서 발급하는거야(여기 것만 유효한거야) 라는 표현정도랄까…   적용방법 DNS에 직접 작업을 진행하는 형태이고 만약 사용중인(또는 발급예정인) 인증기관이 “letsencrypt.org”라고 한다면 이러한 형태로 레코드를 추가하면 되겠다. 보다 정확한 레코드 생성을 [ more… ]

No Image

[AWS] certificate arn:aws:iam server-certificate not found when configure ELB

2017-06-06 KENNETH 0

1. 상황 ELB 구성 작업 시 HTTPS 프로토콜을 추가하면 SSL 인증서를 지정하는 항목이 나옴 해당 설정을 완료후 마지막 ”launch”를 클릭하면 certificate arn:aws:iam server-certificate not found 오류가 발생 하면서 ELB 구성(생성)이 완료 되지 않음   2. 확인 2.1 SSL 인증서 오류 문제 private key certificate file of domain certificate chain ELB 등록시 필요한 3요소에는 문제가 없음 실제 아파치에 직접 적용을 해봐도 문제가 없음 물론 같은 방식으로 지금까지 잘 사용했고 이후 설명하는 방법에서도 같은 인증서 파일들을 이용해 성공 했기 때문에 인증서(파일)의 문제로 보기 어려움   2.2 시간적 특이사항 아마도 나중에 다시 해봤으면 성공 했지 싶음 하지만 내겐 그만한 시간이 없고, 약 1시간 가까이 테스트를 해본 결과 되지 않았음   2.3  ELB 방식의 차이? Application Load Balancer Classic Load Balancer 모두 동일한 결과가 나왔음   2.4 유추한 문제 웹 기반 콘솔에서는 더이상 안되겠다는 판단 인증서 업로드가 안되기 때문에 마지막 단계에서 파일을 찾지 못한다고 [ more… ]

No Image

Unable to validate certificate chain in aws elb – comodossl

2016-09-05 KENNETH 0

AWS ELB 설정시 SSL 인증서를 등록하는 중에… 이와같은 에러를 만났다면.. 발급받은 인증서 파일들에는 문제가 없음을 가정한다. 이 문제는 마지막 항목인 ”Certificate Chain”의 입력값을 지적하는 내용이다.   아마도 당신이 발급받은 체인 인증서 목록은 아래와 같을 것이다. AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 이중에서… COMODO.. 로 시작하는 두개의 파일이 있는데… 그중 COMODORSADomainValidationSecureServerCA.crt 파일의 내용을 먼저 입력하고.. 그 다음 COMODORSAAddTrustCA.crt 파일의 내용을 입력해 보자.. 명령어로 굳이 설명하면.. cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt 를 실행해서 출력된 값을 넣어보자..   그렇다면 정상적인 등록이 될것이다…  

No Image

openssl Alternative chains certificate forgery (CVE-2015-1793)

2015-07-22 KENNETH 0

  출처 : http://openssl.org/news/secadv_20150709.txt 엇.. 언제 이런 이슈가 나왔지??? 하고 뒤늦게 알게 된후.. centos6 centos7 모두 업데이트 기록을 조사해 봤으나 관련 이슈로 업데이트 된 기록이 없음.. 자세히 살펴보니 1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o 이렇게 4가지 버전만 해당된다고… 다행인지 centos는 해당 버전을 사용하지 않기 때문에 비껴감.. ㅋㅋㅋ   원문 OpenSSL Security Advisory [9 Jul 2015] ======================================= Alternative chains certificate forgery (CVE-2015-1793) ====================================================== Severity: High During certificate verification, OpenSSL (starting from version 1.0.1n and 1.0.2b) will attempt to find an alternative certificate chain if the first attempt to build such a chain fails. An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed, such as the CA flag, enabling them to use a valid leaf certificate to act as a CA and “issue” an invalid certificate. This issue will impact any [ more… ]