인증 기관이란 무엇인가요?

인증 기관은 인터넷 신원 시스템의 신뢰 앵커다. CA가 도메인에 대한 인증서를 발급하면, 인증서 보유자가 해당 도메인에 대한 통제권을 입증했음을 증명하는 것이다. 브라우저와 운영체제에는 신뢰할 수 있는 루트 CA 인증서 집합이 사전 설치돼 있다. 브라우저가 서버의 인증서를 만나면 서명 사슬을 이 신뢰할 수 있는 루트 중 하나까지 추적하여 연결을 신뢰할지 판단한다.

인증서 발급 과정은 검증 수준에 따라 다르다. 도메인 검증(DV) 인증서는 도메인 통제 증명(보통 DNS 또는 HTTP 챌린지)만 요구하며 몇 분 안에 발급될 수 있다. 조직 검증(OV)과 확장 검증(EV) 인증서는 신청 조직의 법적 신원 검증을 요구한다. Let's Encrypt는 무료 자동화 DV 인증서를 대중화하여 웹의 HTTPS 보급을 극적으로 높였다.

CA의 유출은 인터넷 보안에 대한 가장 심각한 위협 중 하나다. 공격자가 CA의 서명 키에 대한 통제권을 얻으면 어떤 도메인에 대해서도 사기성 인증서를 발급해 탐지 불가능한 중간자 공격을 가능하게 할 수 있다. 실제로 이런 일이 있었다. 2011년 DigiNotar 유출은 그 회사의 완전한 신뢰 상실과 해산으로 이어졌다. 발급된 모든 인증서의 공개적·추가 전용 기록인 인증서 투명성(CT) 로그가 그런 사기성 발급을 신속히 탐지하기 위해 도입됐다.

Vaulted가 인증 기관을 사용하는 방법

Vaulted의 HTTPS 인증서는 신뢰할 수 있는 인증 기관이 발급하므로, 브라우저는 자신이 진짜 Vaulted 서버에 연결하고 있음을 검증할 수 있다. 이는 중간자 공격자가 Vaulted로 위장해 암호화된 비밀을 가로채거나 악성 JavaScript를 전달하는 것을 막는다. CA가 뒷받침하는 TLS 연결이 전송 계층을 보호하지만, Vaulted의 보안 모델은 그것에만 의존하지 않는다. 클라이언트 측 암호화는 TLS 채널이 유출되더라도 평문 비밀이 아니라 암호문 이상은 노출되지 않도록 보장한다.