에스지에이이피에스

공지사항

[보안공지] 이메일 인증을 통한 SSL 인증서 발급 주의 권고

작성일: 2015-03-31

조회수: 2568

개요

SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원
인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1]

설명

SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공
인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청

해결 방안

이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한

- 일반 사용자에 대해 SSL 인증서 발급 기관이 허용한 특정 이메일 계정 생성을 제한하고 이미 일반 사용자에게 해당 계정이 생성되어 있을 경우 계정에 대한 비활성화를 권고
※ 인증서 발급기관마다 허용하고 있는 이메일 계정은 상이하나 주로 사용되는 계정은 admin, administrator, webmaster, hostmaster, postmaster,root, ssladmin, info, is, it, mis, ssladministrator, sslwebmaster 등이 있음
※ 인증서 발급을 위한 이메일 계정 정보 참고
＊COMODO(Root CA)의 인증서 발급을 위한 메일 계정 : 참고사이트 [2]
＊BUYhttp(SSL 리셀러)의 인증서 발급을 위한 메일 계정 : 참고사이트 [3]

용어 정리

SSL(Secure Socket Layer) 인증서 : HTTPS 등 암호화된 통신을 위해 인증기관이 발급해주는 디지털 인증서

기타 문의사항

한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] http://www.kb.cert.org/vuls/id/591120

[2]https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/alternative-methods-of-domain-control-validation-dcv

[3]http://account.buyhttp.com/knowledgebase/753/Which-email-address-can-approve-SSL-certificate-order.html

에스지에이이피에스 홈페이지

고객센터

공지사항

[보안공지] 이메일 인증을 통한 SSL 인증서 발급 주의 권고