Cloudflare에서는 고객의 인터넷 응용 프로그램을 위해 모든 고객에게 TLS 인증서 프로비저닝 기능을 무료로 제공한다는 사실을 자랑스럽게 여기고 있습니다. 현재 우리는 인증서 발급에서 배포와 갱신까지 4,500만 개에 달하는 인증서를 대상으로 인증서 수명주기 관리를 책임지고 있습니다. 가장 복원력이 좋고 강력한 플랫폼을 확장함에 따라 우리는 플랫폼이 ‘미래 경쟁력을 갖추며’ 예측할 수 없는 이벤트에 대한 복원력을 가지기를 원합니다.
우리가 고객에게 인증서를 재발급하게 만드는 이벤트로는 즉각적인 조치가 필요한 키 손상, 취약점, 대량 취소가 있습니다. 조치를 취하지 않는다면 고객은 안전하지 않거나 오프라인 상태에 있습니다. 이러한 이벤트 중 하나가 발생하면 우리는 영향을 즉각적으로 완화할 수 있도록 준비하고 싶습니다. 그러나 어떻게 하면그렇게 할 수 있을까요?
배포할 준비가 된 백업 인증서를 준비하면 됩니다. 이러한 인증서에는 다른 개인 키가 적용되었으며 이는 저희가 제공하는 기본 인증서가 아닌 다른 인증 기관에서 발급한 것입니다.
인증서 재발급으로 이어지는 이벤트
Cloudflare에서는 매일 인증서를 재발급합니다. 우리는 이를 인증서 갱신이라고 부릅니다. 인증서에는 만료 날짜가 있으므로 Cloudflare에서 인증서가 곧 만료됨을 포착하면 우리는 새로운 인증서 갱신 명령을 개시합니다. 이를 통해 인증서가 만료될 시점이 되면 우리는 이미 배포된 인증서를 업데이트하고 TLS 종료를 위해 사용할 준비가 됩니다.
애석하게도 모든 인증서 갱신이 만료 날짜로 개시되지는 않습니다. 종종 키 손상과 같은 예측할 수 없는 이벤트로 인해 인증서가 갱신되기도 합니다. 이는 새로운 키가 발급되어야 하기 때문입니다. 따라서 해당하는 인증서도 새롭게 발급되어야 합니다.
키 손상
키 손상은 미인가 인원 또는 시스템이 비밀 정보 암호화 및 해독에 사용하는 개인 키를 습득한 경우 발생합니다. 이는 보안 직원에게 최악의 악몽입니다. 키 손상은 시스템에 있는 버그가 개인 키 유출을 초래할 수도 있는 Heartbleed와 같은 취약점의 결과일 수 있습니다. 키 손상은 또한 미인가 정보에 액세스하는 악의적인 직원과 같은 악의적인 행동의 결과일 수 있습니다. 키 손상이 발생할 경우 (1) 새로운 개인 키를 즉시 발급하고, (2) 새로운 인증서를 배포하며, (3) 기존 인증서를 취소하는 것이 중요합니다.
Heartbleed 취약점
2014년에 Heartbleed 취약점이 노출되었습니다. 이 취약점을 통해 공격자가 인기 있는 암호화 라이브러리인 OpenSSL의 영향을 받은 버전에서 실행되는 모든 서버를 위한 TLS 인증서 개인 키를 추출할 수 있었습니다. 우리는 버그를 패치한 다음 어떠한 자사 키도 유출되지 않았음에도 불구하고 예방 조치의 일환으로 빠르게 모든 Cloudflare 고객의 개인 키와 TLS 인증서를 재발급했습니다. 빠르게 행동한 Cloudflare의 능력 덕분에 고객 데이터가 노출되지 않도록 보호되었습니다.
Heartbleed는 주의를 촉구하는 사건이었습니다. 당시에 Cloudflare의 규모는 훨씬 더 작았습니다. 비슷한 취약점이 오늘날 발생한다면 고객의 모든 인증서를 재발급하는 데 몇 시간이 아닌 몇 주가 걸릴 것입니다.
이제 우리는 백업 인증서를 통해 대량 재발급을 짧은 기간 내에 개시하는 것을 걱정할 필요가 없습니다. 대신 고객은 우리가 즉각적으로 배포할 수 있는 인증서를 이미 보유하고 있을 것입니다. 그뿐만 아니라 백업 인증서에는 또한 기본 인증서와는 다른 키가 적용되어 있을 것입니다. 이는 키 손상으로 인해 영향을 받는 것을 방지합니다.
키 손상은 인증서가 대규모로 재발급되어야 하는 주요 이유 중 하나입니다. 그러나 인증 기관의 대량 취소를 포함한 다른 이벤트도 재발급으로 이어질 수 있습니다.
인증 기관의 대량 취소
오늘날 CA/B Forum(Certificate Authority/Browser Forum)은 인증서의 규칙과 기준을 세우는 관리 기관입니다. CA/B Forum이 지정한 절대적 요건에 따라 인증 기관은 손상될 위험에 처한 키를 가진 인증서를 24시간 이내에 취소해야 한다고 규정되어 있습니다. 인증서 남용 또는 인증 기관의 인증서 정책 위반과 같은 덜 긴급한 문제의 경우 인증서는 5일 이내에 취소해야 합니다. 두 가지 경우 모두 인증 기관은 인증서를 짧은 기간 내에 취소하고 즉시 인증서를 재발급해야 합니다.
발급 기관에서 대량 취소를 개시하는 일은 흔하지는 않지만, 지난 몇 년간 몇 번 발생했습니다. 최근에는 Let’s Encrypt에서 DCV 문제의 구현에서 규정 미준수를 발견했을 때 약 270만 개의 인증서를 취소해야 했습니다. 이 경우 Cloudflare 고객은 영향을 받지 않았습니다.
다른 경우에는 우리가 이용하는 인증 기관 중 하나가 CA/B Forum 기준을 준수하지 않는 유효성 검사 토큰을 기반으로 인증서를 갱신했음을 발견했습니다. 이로 인해 해당 인증 기관은 대량 취소를 시행했으며 약 5,000개의 Cloudflare 관리 도메인에 영향이 미쳤습니다. 우리는 Cloudflare 고객 및 인증 기관과 협업하여 취소 전에 새로운 인증서를 발급해서 결과적으로 영향을 최소화했습니다.
우리는 실수가 발생할 수도 있다는 것을 이해합니다. 이러한 문제가 발생함에 따라 우리 엔지니어링 팀이 영향을 받는 고객이 없도록 빠르게 완화할 수 있었던 것은 운이 좋았다고 생각합니다. 그러나 이것으로 충분하지 않습니다. 우리 시스템은 4,500만 개의 인증서 취소가 고객에게 영향을 주지 않도록 미래 경쟁력을 갖춰야 합니다. 우리는 백업 인증서를 통해 규모와 관계없이 대량 재발급을 할 준비가 되어 있습니다.
우리가 이용하는 인증 기관이 개시한 대량 취소에 대응하여 복원력을 갖출 수 있도록 우리는 기본 인증서와는 다른 인증 기관으로부터 모든 백업 인증서를 발급받을 것입니다. 이는 우리가 이용하는 인증 기관 중 하나가 대량 취소를 시행해야 할 때 추가적인 보호막을 제공할 것입니다. 대량 취소가 개시되면 이는 시한폭탄과 같습니다.
인증서 갱신 시의 문제
규모: 더 많은 권한에는 더 많은 책임이 따릅니다
Heartbleed 취약점이 노출되었을 때 우리는 약 100,000개의 인증서를 재발급해야 했습니다. 그 당시 Cloudflare의 입장에서 어려운 일이 아니었습니다. 이제 우리는 수천만 개의 인증서를 책임지고 있습니다. 우리 시스템에서 이러한 규모를 처리할 수 있음에도 불구하고 우리는 이를 인증 기관 파트너가 처리하는 것에 의존하고 있습니다. 우리는 긴급한 상황에서 우리가 제어하지 않는 시스템에 의존하고 싶지 않습니다. 그래서 우리에게는 사전에 인증서를 발급하는 것이 중요합니다. 그렇게 하면 재해가 발생했을 때 우리는 백업 인증서 배포만 걱정하면 됩니다.
DCV 완료를 위한 수동 개입
인증서 재발급과 더불어 발생하는 다른 문제는 DCV(Domain Control Validation)입니다. DCV는 인증 기관이 인증서를 발급할 수 있기 전에 도메인의 소유권을 검증하기 위해 사용되는 검사입니다. Cloudflare에 온보딩될 때 고객은 Cloudflare를 DNS 공급자로 위임할지, 아니면 자신의 현재 DNS 공급자를 유지할 때 프록시로 Cloudflare를 사용할지 선택할 수 있습니다.
Cloudflare가 도메인을 위해 DNS 공급자의 역할을 수행할 때 우리는 고객 대신 DCV(Domain Control Validation) 레코드를 추가할 수 있습니다. 이를 통해 인증서 재발급 및 갱신 프로세스가 훨씬 더 단순해집니다.
Cloudflare를 DNS 공급자로 사용하지 않는 도메인을 우리는 부분 구역이라고 부릅니다. 이 도메인에서는 DCV 완료를 위해 다른 방법에 의존해야 합니다. 이러한 도메인이 우리를 통해 자체적인 트래픽을 프록시할 때 우리는 이를 대신하여 당사 에지에서 가져온 HTTP DCV 토큰을 제공하여 HTTP DCV를 완료할 수 있습니다. 그러나 자체적인 트래픽을 프록시하기 전에 인증서를 발급하고 싶은 고객은 수동으로 DCV를 완료해야 합니다. Cloudflare가 수천 개 또는 수백만 개의 인증서를 재발급해야 하지만 고객을 대신하여 DCV를 완료할 수 없는 경우, 수동 개입이 필요합니다. DCV 완료는 힘든 작업은 아니지만, 짧은 시간 내에 진행해야 하고 위험도가 높은 긴급 상황에서 고객이 진행하는 것에 의존해야 하는 작업은 아닙니다.
이러한 경우에 백업 인증서가 필요합니다. 이제부터 모든 인증서를 발급하려면 두 가지 명령이 실행됩니다. 하나는 기본 인증 기관의 인증서를 위한 것이며 다른 하나는 백업 인증서를 위한 것입니다. 고객을 대신하여 DCV를 완료할 수 있다면 우리는 두 개의 인증 기관을 대상으로 그렇게 할 것입니다.
현재 우리는 Cloudflare를 권한 있는 DNS 공급자로 사용하는 도메인을 대상으로만 백업 인증서를 발급합니다. 추후에는 부분 구역을 위해서도 백업 인증서를 요청할 예정입니다. 이는 우리가 DCV를 완료할 수 없는 백업 인증서를 대상으로 우리가 발급된 인증서를 가져오기 위해 고객에게 해당하는 DCV 레코드를 제공하는 것을 의미합니다.
백업 인증서 배포 계획
Cloudflare에서 Cloudflare를 권한 있는 DNS 공급자로 사용하는 Free 고객을 대상으로 범용 인증서 명령에서 백업 인증서 배포를 시작했음을 기쁜 마음으로 알려드립니다. 우리는 서서히 백업 인증서 명령의 수를 늘리고 있으며, 백업 인증서를 포함하기 위해 다음 몇 주간 Free, Pro, Biz 계정에서 모든 새로운 범용 인증서 팩 명령을 개시할 예정입니다. 이러한 백업 인증서에는 기본 인증서와는 다른 인증 기관에서 발급한 다른 키가 적용됩니다.
4월 말에 Enterprise 고객을 대상으로 백업 인증서 발급을 시작할 예정입니다. Enterprise 고객이고 백업 인증서에 관한 질문이 있으시면 담당 계정 팀에 문의해주세요.
다음 차례: 모두를 위한 백업 인증서
현재 범용 인증서는 Cloudflare 파이프라인에서 인증서의 72%를 차지합니다. 그러나 우리는 100% 커버리지를 원합니다! 그렇기 때문에 우리 팀은 계속해서 고급 인증서 및 SaaS용 SSL 인증서를 지원하기 위해 백업 인증서 파이프라인을 확장할 예정입니다. 추후에 우리는 또한 고객이 스스로 업로드한 인증서를 위한 백업 인증서를 발급할 것입니다. 따라서 고객은 의존할 수 있는 백업을 갖게 됩니다.
우리는 또한 계속해서 파이프라인을 개선하여 백업 인증서가 즉시 배포되도록 할 계획입니다. 따라서 우리 고객은 긴급 상황에서도 안전하게 온라인 상태를 유지할 수 있습니다.Cloudflare의 사명은 더 나은 인터넷을 구축하는 데 도움을 드리는 것입니다. 백업 인증서를 통해 우리는 모든 재해에 대하여 준비된 안전하고 신뢰할 수 있는 인터넷을 구축하는 데 도움을 드리고 있습니다. 우리를 돕고 싶으신가요? 현재 채용 중입니다.