하이브리드 인증서란? RSA와 ECC를 모두 아우르는 인증서

ㅁ 들어가며

 예전 글, 네트워크 레이아웃에서 SSL이란?에서 SSL(Secure Sockets Layer)은 클라이언트와 서버 간의 통신을 보호하는 표준적인 보안 프로토콜이로 서버는 SSL 인증서를 사용하여 신원을 증명한다고 설명한적 있다. 일년에 한번 인증서 교체 시기가 되면 SSL 인증서 개념이 헷갈리는 시기이다. 최근에는 하나의 인증서에 RSA와 ECC를 모두 담아 제공하는 하이브리드 인증서를 알게 되었다. 이 글에서는 하이브리드 인증서가 무엇인지, 그리고 서버(특히 Apache와 Nginx)에서의 인증서 관리 주의점까지 정리해보았다.

 

ㅁ 하이브리드 인증서란?

  하이브리드 인증서는 RSA와 ECC(Elliptic Curve Cryptography)라는 두 가지 암호 알고리즘의 공개키가 한 인증서에 함께 들어간 형태이다.

• RSA: 가장 오래된 공개키 암호 시스템. 호환성과 관리의 용이성으로 오랫동안 많이 쓰임.
• ECC: 더 짧은 키 길이로도 강력한 보안성, 성능과 신기술에 최적화.

하이브리드 인증서는,
 - 기존 구형 클라이언트(RSA만 지원)

 - 성능을 중시하는 최신 클라이언트(ECC 지원)

이 둘을 "동시에 지원"할 수 있다.

 

ㅁ 하이브리드 인증서의 장점

• 호환성 극대화: 클라이언트 종류와 상관없이 보안 접속 지원.
• 성능 최적화: ECC가 지원되는 환경에서는 짧은 키와 빠른 연산의 장점을 누리고, RSA밖에 안 되는 환경에서도 통신이 가능.
• 점진적 전환: ECC로 보안 인프라를 점진적으로 이전하고 싶은 서버/플랫폼에 적합.

 

ㅁ 중간 인증서란 무엇인가?

  중간 인증서는 SSL 인증서 체인에서 루트 인증서와 서버 인증서 사이에 위치하며, 루트 인증서의 비밀키를 직접 노출하지 않고 서버 인증서를 대신 발급하고 서명하는 역할을 한다.
  루트 인증서는 높은 보안 수준을 유지하기 위해 일반적으로 오프라인 등의 제한된 환경에 보관되며, 일상적인 인증서 발급과 관리는 신뢰를 위임받은 중간 인증서가 담당한다. 이러한 구조는 보안성을 강화하고 리스크를 분산시키는 데에 효과적이다.

  클라이언트는 서버로부터 중간 인증서와 서버 인증서를 함께 전달받아, 루트 인증서까지 이어지는 신뢰 경로(Trust Chain)를 검증함으로써 안전한 통신이 가능해진다.

  인증서 설치 방법은 사용하는 서버 소프트웨어에 따라 다르며, 일반적으로는 중간 인증서 번들 파일을 다운로드하여 함께 설치하는 방식으로 구성된다.

 

ㅁ  인증서 관리 - Apache와 Nginx 주의점

ㅇ Apache: 인증서 체인 관리에 더 세밀한 제어가 있지만, 파일 누락 등 실수에 주의.
ㅇ Nginx: chain 통합 인증서 파일로 운영과 갱신이 상대적으로 단순.

 

ㅇ Apache의 인증서 파일 구조는

     서버 인증서,

     중간 인증서,  <== 이로 인해 특정 디바이스에 장애가 발생하기도 함.

     루트 인증서
이 세 가지를 각각 별도 파일로 분리해 관리한다.

일반적으로 인증서를 갱신하면 서버 인증서나 중간 인증서만 업데이트하면 되기 때문에 관리가 효율적이다.

 

ㅇ Nginx의 인증서 파일 구조는

     서버 인증서와 중간 인증서, 루트 인증서를 하나의 파일에 모두 통합해서 사용한다.

     보통 fullchain.pem에 전체 체인을 합쳐넣고, 여기에 key 파일만 별도 매칭시키면 끝이다.

     파일 단위로만 교체하니 관리가 용이하고, 실수로 누락되는 Chain 오류를 줄일 수 있다.

 

ㅁ 마무리

  하이브리드 인증서는 앞으로 암호화 알고리즘의 세대교체를 염두에 두면서도 호환성과 성능을 모두 케어할 수 있는 좋은 선택이다. 인증서를 자주 다루는 서버 엔지니어나 백엔드 개발자 입장에서는, 각 웹서버의 인증서 파일 구조와 특징을 충분히 고려해 관리하는 것이 중요하다.

 

ㅁ 함께 보면 좋은 사이트

ㅇ HTTPS 통신 동작 원리 (SSL, TLS) - 공부하자 - 티스토리