IIS용 VeriSign 웹 서버 인증서 지금 업데이트: 만료된 VeriSign 중간 인증서로 인해 SSL을 사용하는 사이트 연결이 유효하지 않을 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 834438 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이전 VeriSign 128비트 국제(글로벌) 서버 중간 인증 기관 인증서가 2004년 1월 7일에 만료되었습니다. 이로 인해 최신 인증서가 없는 웹 서버 및 SSL/TLS(Transport Layer Security) 사용 응용 프로그램에서 서버 인증 SSL(Secure Socket Layer) 연결을 설정하려는 클라이언트에 문제가 발생할 수 있습니다.

이러한 문제를 방지하기 위해 Microsoft 인터넷 정보 서비스(IIS) 운영자는 VeriSign에 연락하여 128비트 SSL을 사용하여 HTTPS(Secure Hypertext Transfer Protocol)로 웹 사이트에 연결하는 서버용 중간 인증 기관 인증서를 업데이트해야 합니다.

영향

클라이언트는 업데이트된 인증서가 없는 웹 서버에 SSL 보호 연결을 설정할 수 없습니다.

권장 사항

VeriSign 중간 인증서의 업데이트된 버전을 설치하십시오.

영향 받는 소프트웨어

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

기술 세부 정보

기술 설명

VeriSign은 만료 중이거나 만료된 많은 인증서 및 인증서 해지 목록(CRL)을 유지합니다. 이런 일은 일반적입니다. 대개 인증서와 CRL은 사용 기간이 짧게 설계됩니다. 그러나 인증서는 종종 사용 기간을 연장하기 위해 재발급됩니다. 이것은 일반적으로 문제가 되지 않지만 SSL(Secure Socket Layer)을 사용하여 서버 리소스에 연결하는 세션을 보호하는 서버에 문제를 일으킬 수 있습니다.

서버 운영자가 VeriSign의 SSL 인증서를 관련 발급 인증 기관 인증서와 함께 설치한 다음 나중에 VeriSign을 통해 SSL 인증서를 갱신하는 경우 서버 운영자는 중간 발급 인증서가 동시에 업데이트되도록 해야 합니다.

업데이트된 인증서를 설치하려는 경우 이러한 인증서의 최신 버전을 구하고 설치 단계를 확인하려면 다음 VeriSign 웹 사이트를 방문하십시오.
https://www.verisign.com/support/site/caReplacement.html

추가 정보

X.509 인증서의 유효성 검사에는 여러 단계가 포함됩니다. 이러한 단계에는 경로 검색경로 유효성 검사가 있습니다.

경로 검색은 유효한 엔티티가 인증서를 발급했는지 확인하는 과정입니다. 경로 검색을 위해 다음과 같은 여러 가지 방법을 사용할 수 있습니다.
  • 클라이언트는 종종 중간 인증서의 캐시를 유지합니다. 중간 인증서는 궁극적으로 유효한 루트 인증 기관이 인증서를 발급했는지 확인하는 데 유용하다고 입증된 인증서입니다.

    인증서는 추가 관련 정보에 대한 포인터를 제공하는 확장을 포함할 수 있습니다. 이런 종류의 확장을 보여주는 한 가지 예는 AIA(Authoritative Information Access) 확장입니다. AIA 확장은 인증서 발급자에 대한 포인터를 포함할 수 있습니다.

    참고 이러한 문제와 관련된 VeriSign 인증서를 포함한 모든 인증서에 이 포인터가 들어 있는 것은 아닙니다. Microsoft는 향후 발급하는 인증서에 이 정보를 포함시키도록 인증서 발급자와 함께 적극적으로 노력해 왔으며 앞으로도 계속 노력할 것입니다. 이 확장에 대한 자세한 내용은 IETF(Internet Engineering Task Force) RFC(Request for Comments) 3280을 참조하십시오.
  • 서버는 클라이언트에 추가 정보를 제공할 수 있습니다. SSL은 이러한 기술의 한 예입니다. SSL 협상에서 서버는 클라이언트에 자체 인증서 및 서버의 ID 확인에 클라이언트가 사용할 수 있다고 서버에서 확인한 인증서를 제공합니다.

경로 유효성 검사는 검색한 경로를 확인하는 과정입니다. 경로 유효성 검사에는 인증서에 있는 각 서명의 암호화 유효성 검사가 포함됩니다. 또한 경로 유효성 검사는 발급자의 정책이 시행되는지 확인합니다. 이러한 정책은 다음과 같습니다.
  • 발급자는 해당 인증서가 여전히 유효하며 원래 발급된 사람에 의해 제어된다는 것을 믿습니까? 이 동작을 종종 “인증서 해지 확인”이라고 합니다. Windows는 이 유효성 검사를 수행하기 위해 암호화 개체, 인증서 해지 목록(CRL)을 지원합니다.
  • 발급자가 의도한 용도로 인증서가 사용됩니까? 예를 들어, 전자 메일용으로 발급된 인증서는 SSL에서처럼 웹 서버가 특정 도메인 이름과 연결됨을 입증하도록 신뢰되어서는 안됩니다.
  • 인증서가 사용 기간에 대해 유효합니까? 인증서 사용 기간은 보안을 위해 제한됩니다. 발급자는 신뢰되는 기간보다 오랫동안 개인 또는 리소스가 특정 ID를 가지고 있다고 인증할 수 없습니다.

질문과 대답

이것은 보안 취약점입니까?

아니요. 이것은 영향 받는 제품에서의 보안 취약점이 아닙니다. 이 문제는 타사 디지털 인증서의 만료로 인해서만 발생합니다.

문제의 범위는 어떻게 됩니까?

최근 주요 인증 기관인 VeriSign, Inc.은 “VeriSign International Server CA - Class 3” 인증 기관을 보다 긴 유효 기간을 가진 인증서로 갱신했습니다. 이 갱신 후에 웹 서버 운영자가 SSL 인증서를 갱신한 경우 고객이 자신의 웹 서버가 실제로 해당 조직과 연결되어 있는지 유효성 검사를 시도할 때 문제가 발생할 수 있습니다.

문제는 어떻게 해결합니까?

각 웹 서버의 중간 인증 기관(CA) 인증서를 수동으로 업데이트하여 이 문제를 확인할 수 있습니다. 이 인증서를 얻으려면 다음 VeriSign 웹 사이트를 방문하십시오.
https://www.verisign.com/support/site/caReplacement.html
이것이 서버 문제이면 클라이언트에 문제가 발생하는 이유는 무엇 때문입니까?

문제는 클라이언트가 웹 서버에 보안이 향상된 연결을 설정하려고 할 때 발생합니다. 연결 설정 과정의 일환으로 서버는 많은 인증서를 클라이언트에 전달합니다. 클라이언트는 이러한 인증서를 사용하여 서버 인증서의 유효성을 검사합니다. 이 경우 중간 인증 기관 중 하나(“VeriSign International Server CA - Class 3” CA)가 만료되었습니다. 이 중간 인증서는 유효하지 않습니다. 따라서 브라우저는 보안이 향상된 연결을 설정할 수 없음을 설명하는 경고 메시지를 표시합니다.

Microsoft 인증서가 관련이 있습니까?

아닙니다. 이러한 인증서는 VeriSign, Inc.이 발급하고 소유합니다. VeriSign은 Microsoft가 시행하는 프로그램에 참가합니다. 이 프로그램에서는 타사 트러스트 공급자가 Microsoft 고객을 위해 인터넷 상거래를 보호할 수 있습니다. 이 프로그램에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/news/rootcert.mspx
Microsoft Root Program에 어떤 인증 기관이 참가합니까?

Microsoft Root Program에 참가하는 트러스트된 타사의 최신 목록을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Does Microsoft는 여전히 Microsoft Internet Explorer가 사용하는 인증서를 업데이트합니까?

예. Microsoft Root Program의 일환으로, 트러스트된 루트 인증서 목록은 분기별로 업데이트될 수 있습니다. Microsoft Windows XP 및 Microsoft Windows Server 2003 사용자의 경우 이 업데이트는 트러스트되지 않는 인증서와 함께 제공될 때 체인 유효성 검사 엔진에서 발생합니다. 이 동작이 발생하면 인증서가 Root Program에 추가되었는지 여부를 확인하기 위해 Windows Update에 연결됩니다. Windows XP 이전 클라이언트에서는 권장 패키지가 수동으로 다운로드되도록 Windows Update에 게시됩니다. 기업은 기업 내 사용자가 트러스트할 트러스트된 타사를 자체적으로 결정하는 것이 좋습니다.

참고 Microsoft Root Program이 제공하는 업데이트는 VeriSign 중간 인증서 만료로 인한 문제를 해결해 주지 않습니다.

해결 방법

이 문제를 해결하려면 각 서버의 중간 CA 인증서 저장소를 VeriSign 국제 서버 중간 CA의 최신 버전으로 업데이트하십시오.

참조

CryptoAPI가 인증서 체인을 만들고 해지 상태의 유효성을 검증하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

지원

Microsoft 고객기술지원부 전화 번호의 전체 목록과 지원 비용에 대한 정보는 다음 Microsoft 웹 사이트를 참조하십시오.
기술 지원 서비스 안내
참고 특정 업데이트로 문제를 해결할 수 있다고 Microsoft 기술 지원 전문가가 판단할 경우 지원 요청에 따른 일반적 비용이 취소될 수도 있습니다. 특정 업데이트가 필요하지 않은 추가 지원 질문과 문제에는 일반 지원 비용이 적용됩니다.

보안 리소스

Microsoft 제품의 보안에 대한 자세한 내용을 보려면 다음 Microsoft TechNet 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/default.mspx

고지 사항

Microsoft 기술 자료에서 제공하는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 모든 보증(상품, 특정 목적에 대한 적합성에 대한 명시적이거나 암시적인 보증을 포함)을 거부합니다. Microsoft 또는 그 공급자는 모든 파생적, 부수적, 직접, 간접, 특별 또는 영업이익의 손실을 포함한 모든 손해에 대해 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 주에서는 파생적 또는 부수적 손해를 배제하거나 제한하는 행위를 허용하지 않으므로, 위 제한은 귀하에게 적용되지 않을 수도 있습니다.



?Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 834438 - 마지막 검토: 2007년 12월 4일 화요일 - 수정: 5.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
키워드:?
kbinfo KB834438

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com