Certificate Chain

%본 글은 Googling을 통해 찾은 정보들을 발번역/의역 한 것입니다. 틀린 부분은 지적 부탁 드립니다.

1. Certificate Chain은 무엇인가?

-> CA에는 두가지 타입이 존재한다. ROOT CAs와 Intermediate CAs. SSL Certification이 신뢰할 수 있게 되려면 Certificate는 공인된 CA로 부터 발행 되어야 한다.

2. Intermediate CA란 무엇인가?

-> Certificate Signing에 Private Key가 필요하다. 그와 반대로 Private Key가 누출되면 그에 의해 Signing된 모든 Certificate들은 쓰지 못하게 된다. 그로 인해 Private Key는 매우 높은 보안 레벨을 가진 장소에 보관된다. 사용자가 Certificate Signing 요청 시 Private Key를 꺼내 Signing을 하게 된다면 유출될 위험성이 발생하기 때문에 Root CA로 Signing된 여러 키를 미리 만들어 그 Sub Key들로 Signing하게 된다. 이 Sub key들을 Intermediate CA라고 한다. 때론 Google과 같이 다양하고 많은 Certificate를 필요로 하는 회사에 의해 Intermediate Certification이 생성 되기도 한다.

3. Intermediate CA는 누가 관리를 해야하나?

-> 일반적으로 Root CA의 경우 browser나 기본 KeyStore에 포함되어있다. 하지만 Intermediate는 포함되지 않기 때문에 SSL 제공자의 서버에 설치가 되어야 한다. 

4. Intermediate CA가 설치가 되지 않는다면 어떤 현상이 발생하나?

-> SSL Handshaking시 Intermediate CA에 대한 요청이 일어나게 되고 Intermediate CA가 존재하지 못한다면 SSL Handshaking은 실패하게 된다.

5. 어디에서 Intermediate CA를 찾을 수 있는가?

-> 보통 각 공인인증 기관 웹페이지를 방문하면 RootCA와 Intermediate CA는 공개되어 있다.

- Appendix - 

https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/

https://unmitigatedrisk.com/?p=397

http://superuser.com/questions/347588/how-do-ssl-chains-work