Microsoft 보안 권고 4010323
Microsoft Edge 및 Internet Explorer 11에서 SSL/TLS 인증서용 SHA-1 사용 중단
게시 날짜: 2017년 5월 9일
버전: 1.0
요약
2017년 5월 9일부터 Microsoft는 SHA-1 인증서로 보호되는 사이트가 로드되지 않도록 차단하고 잘못된 인증서 경고를 표시하기 위해 Microsoft Edge 및 Internet Explorer 11에 대한 업데이트를 릴리스했습니다. 이 변경 내용은 최종 엔터티 인증서 또는 발급 중간에서 SHA-1을 사용하는 Microsoft 신뢰할 수 있는 루트 프로그램의 루트에 연결된 SHA-1 인증서에만 영향을 줍니다. 모든 고객이 SHA-2 기반 인증서로 신속하게 마이그레이션하는 것이 좋지만 엔터프라이즈 또는 자체 서명된 SHA-1 인증서는 영향을 받지 않습니다. 자세한 내용은 SHA1 인증서의 Windows 적용을 참조 하세요.
자세한 내용은 Microsoft 기술 자료 문서 4010323 참조하세요.
권고 세부 정보
문제 참조
이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.
참조 | 참조 |
---|---|
일반 정보 | SHA1 인증서의 Windows 적용 |
\ | SHA-1 사용 중단 카운트다운 |
기술 요구 사항 | 약한 암호화 알고리즘으로부터 보호 |
영향을 받는 소프트웨어
이 권고는 다음 운영 체제에 적용됩니다.
Windows 7 |
---|
32비트 시스템 서비스 팩 1용 Windows 7 |
x64 기반 시스템 서비스 팩 1용 Windows 7 |
Windows Server 2008 R2 |
x64 기반 시스템 서비스 팩 1용 Windows Server 2008 R2 |
Itanium 기반 시스템 서비스 팩 1용 Windows Server 2008 R2 |
Windows 8.1 |
32비트 시스템용 Windows 8.1 |
x64 기반 시스템용 Windows 8.1 |
Windows Server 2012 R2 |
Windows Server 2012 R2 |
Windows 10 |
32비트 시스템용 Windows 10 |
x64 기반 시스템용 Windows 10 |
32비트 시스템용 Windows 10 버전 1511 |
x64 기반 시스템용 Windows 10 버전 1511 |
32비트 시스템용 Windows 10 버전 1607 |
x64 기반 시스템용 Windows 10 버전 1607 |
Windows Server 2016 |
x64 기반 시스템용 Windows Server 2016 |
Server Core 설치 옵션 |
x64 기반 시스템용 Windows Server 2008 R2(Server Core 설치) |
Windows Server 2012 R2(Server Core 설치) |
x64 기반 시스템용 Windows Server 2016(Server Core 설치) |
권고 FAQ
권고의 범위는 무엇입니까?
이 권고는 고객이 SHA-1 해시 알고리즘을 사용하여 서명된 X.509 디지털 인증서를 사용하는 특정 애플리케이션의 위험을 평가하고 관리자와 인증 기관이 SHA-1 대신 SHA-2를 디지털 인증서 서명 알고리즘으로 사용하도록 권장하는 것을 목표로 합니다.
Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
아니요. Microsoft는 모든 고객이 SHA-2로 마이그레이션할 것을 권장하며 서명 목적으로 SHA-1을 해시 알고리즘으로 사용하는 것은 권장되지 않으며 더 이상 모범 사례가 아닙니다. Microsoft 제품의 취약성은 아니지만 Microsoft는 고객과 관련된 실제 위험을 명확히 하기 위해 이 권고를 발행하고 있습니다.
이 위협의 원인은 무엇인가요?
문제의 근본 원인은 충돌 공격에 노출하는 SHA-1 해시 알고리즘의 알려진 약점입니다. 이러한 공격을 통해 공격자는 원본과 동일한 디지털 서명을 가진 추가 인증서를 생성할 수 있습니다. 이러한 공격에 대한 저항이 필요한 특정 용도로 SHA-1 인증서를 사용하는 것은 권장되지 않습니다. Microsoft에서 보안 개발 수명 주기를 사용하려면 Microsoft 소프트웨어에서 SHA-1 해시 알고리즘을 기본값으로 사용하지 않아도 됩니다. SHA-1 충돌 약점에 대한 자세한 내용은 SHAttered: 전체 SHA-1의 첫 번째 충돌을 참조하세요.
디지털 인증서란?
공개 키 암호화에서는 프라이빗 키라고 하는 키 중 하나를 비밀로 유지해야 합니다. 공개 키라고 하는 다른 키는 전 세계와 공유될 예정입니다. 그러나 키 소유자가 키가 속한 사람을 전 세계에 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서는 이 작업을 수행하는 방법을 제공합니다. 디지털 인증서는 개인, 조직 및 컴퓨터의 온라인 ID를 인증하는 데 사용되는 전자 자격 증명입니다. 디지털 인증서에는 해당 인증서를 소유한 사람, 사용할 수 있는 항목, 만료되는 경우 등에 대한 정보와 함께 패키지된 공개 키가 포함되어 있습니다. 자세한 내용은 디지털 인증서 이해를 참조 하세요.
디지털 인증서의 용도는 무엇인가요?
디지털 인증서는 주로 개인 또는 디바이스의 ID를 확인하거나 서비스를 인증하거나 파일을 암호화하는 데 사용됩니다. 일반적으로 인증서가 만료되었거나 유효하지 않음을 알리는 간헐적인 메시지 외에는 인증서에 대해 전혀 생각할 필요가 없습니다. 이러한 경우 메시지에 제공된 지침을 따라야 합니다.
CA(인증 기관)란?
인증 기관은 인증서를 발급하는 조직입니다. 사용자 또는 다른 인증 기관에 속하는 공개 키의 신뢰성을 설정하고 확인하며 인증서를 요청하는 개인 또는 조직의 ID를 확인합니다.
제안된 작업
Microsoft 신뢰할 수 있는 루트 프로그램 정책 변경 검토
이 권고에서 다루는 항목에 대해 자세히 알아보고자 하는 고객은 WINDOWS SHA1 인증서 적용을 검토해야 합니다.SHA-1에서 SHA-2로 업데이트
인증 당국은 2016년 1월부터 새로운 SHA-1 인증서를 발급할 수 없습니다. 고객은 인증 기관이 SHA-2 해시 알고리즘을 사용하여 인증 기관에서 SHA-2 인증서를 가져오는지 확인해야 합니다. SHA-2 인증서로 코드에 서명하려면 SHA1 인증서의 Windows 적용에서 이 항목에 대한 지침을 참조하세요.작업의 영향: 이전 하드웨어 기반 솔루션은 이러한 최신 기술을 지원하기 위해 업그레이드해야 할 수 있습니다.
Windows 업데이트d 유지
모든 Windows 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Windows 업데이트 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. 자동 업데이트 사용하도록 설정된 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 설치해야 합니다.
기타 정보
Feedback
- Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.
지원
- 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
- Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
부인
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
수정 내용
- V1.0(2017년 5월 9일): 공지 게시됨.
페이지 생성 2017-05-08 17:41-07:00.