PKI 검증 절차

인증서 체인은 신뢰앵커까지 실패 조건을 따라간다

PKI는 공개키 인증이라는 말만으로는 부족하다. 체인, 도메인, 기간, 폐지, 용도, 신뢰앵커가 모두 맞아야 인증서를 신뢰할 수 있다.

01

체인 구성

서버 인증서에서 중간 CA를 거쳐 루트 CA까지 서명 연결을 만든다.

중간 인증서 누락
02

서명 검증

각 인증서가 상위 인증서의 공개키로 검증되는지 확인한다.

위조 탐지
03

이름 확인

접속 도메인이 SAN에 포함되는지 보고 CN만 믿지 않는다.

도메인 불일치 실패
04

상태 확인

유효기간, 폐지 상태, 키 용도, 정책 제약을 모두 통과해야 신뢰한다.

하나라도 실패하면 거부
만료
기간 밖 인증서 현재 시간이 유효 시작 전이거나 만료 후면 서명이 맞아도 실패한다.
시간 동기화도 확인
도메인
SAN 불일치 인증서가 다른 호스트를 위해 발급되었으면 중간자 위험이 있다.
와일드카드 범위 점검
폐지
키 유출 또는 발급 철회 OCSP나 CRL에서 revoked로 확인되면 연결을 신뢰하지 않는다.
soft-fail 정책 검토
신뢰앵커
루트 CA 미신뢰 운영체제나 애플리케이션 저장소에 루트가 없으면 체인이 끝나지 않는다.
사설 CA 배포 필요

중간 CA · 키 용도 · 운영 갱신 점검

중간 CA 서버가 중간 인증서를 보내지 않으면 일부 클라이언트에서만 실패할 수 있다.
키 용도 서버 인증 용도가 없는 인증서는 TLS 서버 검증에 부적합하다.
운영 갱신 자동 갱신 실패는 만료 장애로 이어지므로 만료 전 알림과 배포 검증이 필요하다.