kcs공식홈페이지

Notice

[중요] Digicert Root & ICA 인증서 업데이트 안내

2023-02-09 조회수 : 0

안녕하세요,

한국기업보안 유서트입니다.

Digicert Root 및 Chain 인증서 업데이트 관련으로 공지 드립니다.

2025년에 Mozilla는 이전 DigiCert Root Root 인증서를 신뢰하지 않기 시작함에 따라

유서트는 2023년 3월 8일 10:00 MST(17:00 UTC) 기준으로 Digicert 계열 인증서 발급 시

변경된 Root & ICA 인증서로 인증서를 발급 할 예정입니다.

인증서 설치 시 반드시 변경된 Root 및 ICA 인증서를 각 서버 및 장비에 함께 설치를 당부 드립니다.

[Root 인증서 업데이트 안내]

일정 : 2023년 3월 8일 10:00 MST(17:00 UTC)

사유 :

2025년에 Mozilla는 이전 DigiCert Root Root 인증서를 신뢰하지 않기 시작합니다. Digicert는 기존 인증서가 Mozilla 불신 정책의 영향을 받지 않도록 하기 위해 G2 Root 인증서로 업데이트를 진행합니다.

G1 계층 구조에서 발급된 인증서는 만료전까지 신뢰할 수 있는 상태로 유지 됩니다.

[Mozilla 인증서 불신 날짜]

세대	Root 인증서	*Mozilla TLS 불신 일자	*Mozilla S/MIME 불신 일자
G1	Baltimore CyberTrust Root	2025년 4월 15일 BaltimoreCyberTrust Root 인증서는 2025년 5월 12일에 만료됩니다.	N/A BaltimoreCyberTrust Root 인증서는 2025년 5월 12일에 만료됩니다.
G1	DigiCert Assured ID Root CA	2026년 4월 15일	2029년 4월 15일
G1	DigiCert Global Root CA	2026년 4월 15일	2029년 4월 15일
G1	DigiCert High Assurance EV Root CA	2026년 4월 15일	2029년 4월 15일
G2	DigiCert Global Root G2	2029년 4월 15일	2032년 4월 15일
G5	DigiCert TLS RSA4096 Root G5	2036년 1월 15일	N/A 이 G5 계층 구조는 S/MIME 인증서를 발급하지 않습니다.
신뢰하지 않는 날짜에 Mozilla는 활성 최종 엔터티 인증서도 신뢰하지 않습니다. : 첫 번째 TLS/SSL 인증서와 S/MIME 인증서

[영향을 받는 DigiCert 브랜드]

Brand	Validation type	Product
DigiCert	OV	Basic OV Secure Site OV Secure Site Pro SSL Cloud Standard SSL Multi-Domain SSL Wildcard Secure Site SSL Secure Site Multi-Domain SSL Secure Site Wildcard SSL
DigiCert	EV	Basic EV Secure Site EV Secure Site Pro EV SSL Extended Validation SSL EV Multi-Domain SSL Secure Site EV SSL Secure Site EV Multi-Domain SSL
GeoTrust	DV	GeoTrust DV SSL GeoTrust Cloud DV GeoTrust Standard DV GeoTrust Wildcard DV
GeoTrust	OV	GeoTrust TrueBusiness ID OV
GeoTrust	EV	GeoTrust TrueBusiness ID EV
RapidSSL	DV	RapidSSL Standard DV RapidSSL Wildcard DV
Thawte	DV	Thawte SSL 123 DV
Thawte	OV	Thawte SSL Webserver OV
Thawte	EV	Thawte SSL Webserver EV
Encryption Everywhere	DV	Encryption Everywhere DV

[2023년 3월 8일, Root/ICA 인증서 교체]

Certificate brand	현재 사용 Root & ICA 인증서		변경되는 Root & ICA 인증서
Certificate brand	G1 ICA certificate	G1 root certificate	G2 ICA certificate	G2 Root certificate
DigiCert	DigiCert TLS RSA SHA256 2020 CA1	DigiCert Global Root CA	DigiCert Global G2 TLS RSA SHA256 2020 CA1	DigiCert Global Root G2
DigiCert	DigiCert SHA2 Extended Validation Server CA	DigiCert High Assurance EV Root CA	DigiCert EV RSA CA G2	DigiCert Global Root G2
Thawte	Thawte RSA CA 2018	DigiCert Global Root CA	Thawte TLS RSA CA G1	DigiCert Global Root G2
Thawte	Thawte EV RSA CA G2	DigiCert High Assurance EV Root CA	Thawte EV RSA CA G2	DigiCert Global Root G2
GeoTrust	GeoTrust RSA CA 2018	DigiCert Global Root CA	GeoTrust TLS RSA CA G1	DigiCert Global Root G2
GeoTrust	GeoTrust EV RSA CA 2018	DigiCert High Assurance EV Root CA	GeoTrust EV RSA CA G2	DigiCert Global Root G2
GeoTrust	GeoTrust Global TLS RSA4096 SHA256 2022 CA1	DigiCert Global Root CA	GeoTrust TLS RSA CA G1	DigiCert Global Root G2
RapidSSL	RapidSSL Global TLS RSA4096 SHA256 2022 CA1	DigiCert Global Root CA	RapidSSL TLS RSA CA G1	DigiCert Global Root G2
Encryption Everywhere	Encryption Everywhere DV TLS CA - G1	DigiCert Global Root CA	Encryption Everywhere DV TLS CA - G2	DigiCert Global Root G2

중요 질의 & 응답

* Root 인증서 및 ICA(중간인증서)는 어디에 사용되나요?

Root 인증서

Root 인증서는 공용 인증서 신뢰의 앵커입니다. 인증 기관(CA)은 운영 체제, 브라우저 및 기타 애플리케이션과 협력하여 루트 인증서를 신뢰 저장소에 포함시켜 공용 인증서를 신뢰할 수 있도록 합니다.

CA는 공개 Root 인증서를 사용하여 중간 CA 인증서를 발급합니다. 공개 TLS 인증서를 발급하는 데 루트 인증서를 사용하지는 않습니다.

ICA 인증서(Chain 인증서)

CA는 ICA 인증서를 사용하여 TLS 및 기타 디지털 인증서를 발급합니다. ICA 인증서는 또한 TLS 인증서를 트러스트 저장소의 루트 인증서에 연결하여 브라우저 및 기타 애플리케이션이 이를 신뢰할 수 있도록 합니다.

* Root 인증서 및 ICA 인증서를 전환하면 어떤 영향을 받나요?

TLS 인증서를 설치할 때 항상 DigiCert 제공 ICA 인증서를 설치하는 한 다른 인증서 계층 구조로 전환하는 데

일반적으로 추가 작업이 필요하지 않습니다.

G2 인증서 계층으로 변경하면 다음 중 하나를 수행하지 않는 한 조치가 필요하지 않습니다.

* Pin ICA/Root certificates

* Hard-code the acceptance of ICA/Root certificates (ICA/루트 인증서 수락을 위한하드 코딩 소스)

* Operate a trust store (신뢰할 수 있는 인증기관 store 운영)

위의 작업을 수행하는 경우 2023년 3월 8일 이전에 환경을 업데이트하는 것이 좋습니다.

루트 또는 ICA 인증서 수락을 고정하거나 하드코딩하는 것을 중지하거나 필요한 변경을 수행하여

G2 인증서 계층에서 발급된 인증서를 신뢰할 수 있도록 합니.

(즉, 신뢰할 수 있는 G2 루트 인증서에 연결할 수 있습니다).

* 고정된 소스 또는 하드 코딩 인증서 신뢰를 중지하고 싶지 않으면 어떻게 해야 하나요?

DigiCert는 궁극적으로 G2 루트 및 ICA 인증서 계층을 새로운 단일 목적의 G5 루트 및 ICA 인증서 계층으로

대체할 것입니다.

TLS/SSL 인증서를 발급하기 위해 DigiCert의 새로운 단일 목적 G5 루트 및 ICA 인증서 계층 구조로

바로 이동하는 것이 좋습니다. 그러면 G5 ICA 인증서에서 인증서를 발급할 수 있는 옵션이 제공됩니다.

G5 루트는 이전 루트의 편재성이 부족하기 때문에 인증서를 신뢰할 수 있도록 네 번째 인증서인

교차 서명된 루트를 인증서 체인에 추가해야 합니다.

자세한 내용은 DigiCert G5 루트 및 중간 CA 인증서 업데이트 기술 자료 문서를 참조하세요.

https://knowledge.digicert.com/generalinformation/digicert-g5-root-and-intermediate-ca-certificate-migration.html

* 루트 및 ICA 인증서를 전환하면 기존 인증서에 어떤 영향을 주나요?

G2 루트 및 ICA 인증서로 전환해도 기존 인증서에는 영향을 미치지 않습니다.

DigiCert는 기존 인증서가 Mozilla 불신 정책의 영향을 받지 않도록 하기 위해

G2 루트 인증서 계층으로의 이동 시기를 정했으며, G1 계층 구조에서 발급된 활성 TLS/SSL 인증서는

만료될 때까지 신뢰할 수 있는 상태로 유지됩니다.

그러나 2023년 3월 8일 이후에 새로 발급, 갱신, 재발급 및 중복 발급된 인증서는 G2 루트 계층에 연결됩니다. 인증서를 설치할 때 DigiCert에서 제공한 ICA 인증서를 포함해야 합니다.

모범 사례: DigiCert 제공 ICA 인증서 설치

인증서를 설치할 때 항상 DigiCert에서 제공하는 ICA 인증서를 포함해야 합니다.

DigiCert는 인증서가 루트 인증서에 연결되고 신뢰할 수 있도록 항상 이 모범 사례를 권장합니다.

* 환경을 업데이트하는 데 시간이 더 필요한 경우 어떻게 합니까?

준비하는 데 시간이 더 필요한 경우 DigiCert 지원에 문의하세요.

현재 사용 중인 1세대 루트 및 ICA 인증서를 계속 사용할 수 있도록 계정을 설정합니다.

현재 루트에 머무를 기간을 결정할 때 Mozilla 루트 불신에는 루트에 연결된 ICA 인증서 및

TLS/SSL 인증서가 포함된다는 점을 기억해야 하며, 신뢰할 수 있는 상태를 유지하려면

루트 인증서를 신뢰하지 않기 전에 재발급 및 중복을 포함한 모든 활성 인증서를 G2 또는

최신 루트 계층에서 재발급해야 합니다.

DigiCert 공지 사항 :

https://knowledge.digicert.com/generalinformation/digicert-root-and-intermediate-ca-certificate-updates-2023.html?om_ext_cid=dc_email_7014z000001YYf8AAG_11503&mth=July%2C%202022

* Root 인증서 : 인증서의 최상위 인증서

* ICA 인증서 : 최상위 인증서와 연결된 중간인증서 (Chain 인증서)

Digicert Root & ICA 인증서 업데이트 관련으로 궁금하신 사항은

언제든지 02-514-7786 으로 연락주세요.

감사합니다.!

한국기업보안 주식회사 | 서울특별시 서초구 강남대로99길 53 삼우빌딩 4층 (우)06527