Microsoft Edge 브라우저 TLS 서버 인증서 확인에 대한 변경 내용

Microsoft Edge가 HTTPS 서버에 대한 연결을 설정하면 Edge는 서버가 브라우저에서 신뢰할 수 있는 엔터티에서 발급한 인증서를 제공했는지 확인합니다. 이 트러스트 관계는 인증서 신뢰 목록을 통해 설정되며 검사를 수행하는 구성 요소를 인증서 검증 도구라고 합니다.

이전 버전의 Microsoft Edge에서는 기본 인증서 신뢰 목록과 인증서 검증 도구 논리가 모두 기본 OS(운영 체제) 플랫폼에서 제공되었습니다.

관리 디바이스의 경우 Windows 및 macOS의 Microsoft Edge 112부터 기본 인증서 신뢰 목록과 인증서 검증 도구가 모두 제공되고 브라우저와 함께 제공됩니다. 이 방법은 기본 확인 동작에 대한 호스트 운영 체제의 루트 저장소에서 목록 및 검증 도구와 분리합니다. 변경 시기에 대한 자세한 내용은 출시 타임라인 및 테스트 지침을 참조하세요.

변경 후에도 Microsoft Edge와 함께 제공되는 기본 제공 루트를 신뢰하는 것 외에도 브라우저는 사용자 및/또는 엔터프라이즈가 설치한 로컬로 설치된 루트에 대한 기본 플랫폼 및 트러스트를 쿼리합니다. 따라서 사용자 또는 엔터프라이즈가 호스트 운영 체제의 루트 저장소에 더 많은 루트를 설치한 시나리오는 계속 작동해야 합니다.

이 변경은 인증서 확인 논리가 Windows 및 macOS의 Microsoft Edge에서 일관되게 작동한다는 것을 의미합니다. 향후 결정될 릴리스에서는 롤아웃이 Linux 및 Android에도 적용됩니다. Apple App Store 정책으로 인해 Apple에서 제공하는 루트 저장소 및 인증서 검증 도구는 iOS 및 iPadOS에서 계속 사용됩니다.

기본 인증서 신뢰 목록 원본

Windows 및 macOS에서 Microsoft Edge와 함께 제공되는 루트 저장소는 Microsoft 신뢰할 수 있는 루트 인증서 프로그램에서 정의한 CTL(인증서 신뢰 목록)에서 제공됩니다. 이 루트 인증서 프로그램은 Microsoft Windows와 함께 제공되는 목록을 정의합니다. 따라서 고객은 사용자가 볼 수 있는 변경 내용이 표시되지 않을 것으로 예상해야 합니다.

macOS에서 플랫폼에서 신뢰할 수 있지만 Microsoft의 신뢰할 수 있는 루트 인증서 프로그램이 아닌 루트 인증서에서 발급한 인증서는 더 이상 신뢰할 수 없습니다. 대부분의 서버는 이미 사용하는 TLS 인증서가 Microsoft Windows에서 신뢰할 수 있도록 하기 때문에 이러한 신뢰 부족은 일반적인 상황이 될 것으로 예상되지 않습니다.

업데이트는 Microsoft 신뢰할 수 있는 루트 프로그램에 대한 릴리스 정보에 설명된 주기에 따라 릴리스됩니다.

출시 타임라인 및 테스트 지침

Microsoft Edge 109부터 엔터프라이즈 정책(MicrosoftRootStoreEnabled) 및 edge://flags 플래그("Microsoft Root Store")를 사용하여 기본 제공 루트 저장소 및 인증서 검증 도구가 사용되는 시기를 제어할 수 있습니다.

엔터프라이즈에서 관리되지 않는 디바이스는 Microsoft Edge 109의 CFR(제어된 기능 롤아웃)을 통해 기능을 받기 시작했으며 Edge 111에서 관리되지 않는 디바이스의 100%에 도달했습니다. 자세한 내용은 Microsoft Edge의 CFR 작동 방식을 설명하는 Microsoft Edge 구성 및 실험을 참조하세요. 엔터프라이즈 관리 디바이스의 경우 기존 플랫폼 제공 구현이 Microsoft Edge 111을 통해 사용되었습니다.

Microsoft Edge 112부터 엔터프라이즈 관리 디바이스를 비롯한 모든 Windows 및 macOS 디바이스에 대한 기본값이 브라우저와 함께 제공되는 검증 도구 구현 및 CTL을 사용하도록 변경되었습니다. MicrosoftRootStoreEnabled 정책은 예기치 않은 문제가 발견되면 기업이 이전 동작으로 되돌리고 문제를 Microsoft에 보고할 수 있도록 이 릴리스에서 계속 사용할 수 있습니다.

Microsoft에서는 호환성 문제를 사전에 식별하고 Microsoft에 보고하기 위해 Microsoft CTL에 없는 루트에서 발급한 TLS 서버 인증서와 관련된 프록시 또는 기타 시나리오를 중단 및 검사하는 기업을 권장합니다.

Microsoft Edge 115에서는 MicrosoftRootStoreEnabled 정책에 대한 지원이 제거됩니다.

Windows에서 알려진 로컬로 신뢰할 수 있는 인증서 동작 차이점

더 엄격한 RFC 5280 규정 준수

새로운 기본 제공 인증서 검증 도구는 이전 플랫폼 기반 검증 도구보다 RFC 5280 요구 사항을 적용하는 데 더 엄격합니다.

더 엄격한 RFC 5280 규정 준수의 예는 다음과 같습니다.

1. ECDSA 알고리즘에 대한 알고리즘 매개 변수는 없어야 합니다. 이전 검증 도구는 매개 변수를 무시하고 새 검증 도구는 인증서를 거부합니다. 자세한 내용은 Chromium 문제 1453441 참조하세요.
2. IP 주소를 지정하는 이름 제약 조건에는 IPv4 주소에 대해 8개의 옥텟과 IPv6 주소의 경우 32 옥텟이 포함되어야 합니다. 인증서가 빈 IP 주소를 지정하는 경우 인증서를 다시 실행하고 IP 주소 이름 제약 조건을 완전히 생략해야 합니다.
3. 빈 "제외" 목록이 있는 이름 제약 조건이 잘못되었습니다. Windows 인증서 뷰어는 이 목록을 세부 정보 내에 표시 Excluded=None 합니다 Name Constraints . 자세한 내용은 Chromium 문제 1457348 참조하세요. 빈 목록을 지정하는 대신 완전히 생략합니다.

Windows에서 알려진 해지 확인 동작 차이점

더 엄격한 RFC 5280 요구 사항 외에도 새 검증 도구는 LDAP 기반 CRL(인증서 해지 목록) URI를 지원하지 않습니다 .

엔터프라이즈에서 RequireOnlineRevocationChecksForLocalAnchors 정책을 사용하도록 설정하고 RFC 5280에 따라 CRL이 유효하지 않으면 환경이 및/또는 ERR_CERT_UNABLE_TO_CHECK_REVOCATION 오류를 보기 ERR_CERT_NO_REVOCATION_MECHANISM 시작할 수 있습니다.

가 발생하면 ERR_CERT_NO_REVOCATION_MECHANISM인증서로 지정된 URI의 CRL이 PEM 인 코딩되지 않은 DER 인코딩 응답을 반환하는지 확인해야 합니다.

참고 항목

• 비즈니스를 위한 Microsoft Edge 보안
• Microsoft Edge 엔터프라이즈 방문 페이지