PKI : 인증서 유효성 확인

1. 인증서 유효성 확인 방법

인증서 유효성 확인은 사용 중인 인증서가 여전히 신뢰할 수 있는 상태인지 판단하는 과정이다. 특히, 인증서의 폐지를 확인하는 것이 핵심이다. 인증서의 유효성을 확인하는 방법은 대체로 두 가지로 나뉜다.

 

• 인증서 폐지 목록(CRL, Certificate Revocation List) 활용

클라이언트는 인증서 내에 'CRL 배포지점' 정보를 확인한다. 해당 주소로 접근하여 CRL을 다운로드한다. 이후 CRL에 확인이 필요한 인증서의 시리얼 넘버가 기재되었는지 확인한다. 만약 기재되어 있다면 해당 인증서는 폐지된 것이다.

 

• OCSP (Online Certificate Status Protocol) 활용

클라이언트는 인증서 내에 '기관 정보 접근: OCSP 응답자 정보'를 확인한다. 해당 주소로 인증서 상태를 실시간 조회 요청한다. 이후 응답을 통해 유효성 여부를 확인한다.

 

< CRL vs OCSP >

 

2. CRL의 특징

CRL은 폐지된 인증서를 공표하기 위한 가장 오래된 방법으로 다음과 같은 특징을 지닌다.

 

• CRL 장점
  • 비교적 간단한 구조로 구현이 쉽다.
  • 인터넷 연결이 제한된 환경에서도 사용이 가능하다.
  • 상대적으로 유지 관리 비용이 저렴하다.

 

• CRL 단점
  • CRL의 크기가 커질수록 다운로드 속도가 느려질 수 있다.
  • 실시간으로 폐지 상태를 확인할 수 없으며, CRL 갱신 주기에 따라 유효성 확인이 지연될 수 있다.

 

3. OCSP의 특징

OCSP는 CRL의 한계를 극복하기 위해 개발된 프로토콜로 다음과 같은 특징을 지닌다.

 

• OCSP 장점
  • 인증서의 실시간 상태 확인이 가능하다.
  • 확인이 필요한 인증서에 대한 내용만 응답받기 때문에 효율적이다.

 

• OCSP 단점
  • 실시간 연결이 필요하기 때문에 인터넷 연결이 필수적이다.
  • 실시간 연결이기 때문에 항상 동작 상태를 유지해야 하며, 장애에 치명적이다.
  • 데이터베이스(DB)를 조회하는 것이기 때문에 인증 기관(CA, Certificate Authority)의 서버에 부하가 증가될 수 있다.
  • 상대적으로 유지 관리 비용이 더 소요된다.

 

4. 마무리

CRL과 OCSP는 각각의 장단점을 가지고 있으며, 사용하는 환경에 따라 적합한 방식을 선택하는 것이 중요하다. 최근에는 실시간 'OCSP Stapling'이라는 기술을 활용하여 유효성 확인의 효율성을 높이기도 한다. 환경과 요구 사항에 따라 적절한 방식과 기술을 활용하여 PKI의 신뢰성을 높은 상태로 유지해야 한다. 기회가 된다면 OCSP Stapling 관련 글을 작성하도록 하겠다.