코모도 CA의 AddTrust External 루트 인증서 만료
한국 시간 5월 30일 오후 7시 48분(5월 30일 오전 10시 48분 GMT)을 기해 AddTrust External CA Root가 만료되었습니다. 2017년 10월 프랜시스코 파트너스Francisco Partners가 코모도 CAComodo CA를 인수하고, 2018년 11월 코모도Comodo CA를 섹티고Sectigo로 리브랜딩하였습니다. 이 과정에서 기존 코모도 사의 루트 인증서 AddTrust External CA Root를 USERTrust RSA Certification Authority로 변경하기로 하였으며, 기존 인증서는 2020년 5월 30일에 만료될 예정이었으며, 그리고 지난주에 예정대로 만료되었습니다.
불행히도 이 인증서 만료가 다양한 서비스 및 시스템에 영향을 끼친 것으로 보입니다. 이 문제에 대해 Sectigo는 USERTRust 루트 인증서를 신뢰하는 모던 브라우저에서는 문제가 되지 않지만, AddTrust 인증서까지 인증서 체인을 검증하는 레거시 시스템의 경우 문제가 발생할 수 있다고 공식 문서에서 밝히고 있습니다.
Andrew Ayer 님의 트윗 콜렉션에서 영향을 받았던 걸로 보이는 서비스들을 살펴볼 수 있습니다. 이외에도 데이터독 에이전트도 일부 조건에서 영향을 받은 것으로 보이며, 맥macOS에서도 일부 코모도 인증서를 사용하는 사이트를 curl 명령어로 실행할 경우 인증서 만료로 실패하고 있습니다. 또한 이 영향으로 홈브류의 설치 명령어가 실패하는 이슈가 있었습니다. 이외에도 코모도 인증서를 사용하는 리눅스 시스템이나 이 위에서 구동되는 애플리케이션의 경우 영향을 받을 수 있습니다.
서버 사이드에서 문제를 해결하려면 인증서 체인에서 AddTrust External CA Root를 제거해야합니다. 클라이언트 사이드에서는 AddTrust External CA Root 인증서를 비활성화하면 문제가 해결되는 것으로 보입니다. 우분투Ubuntu를 비롯한 데비안Debian 계열 리눅스 배포판에서 다음 과정을 거쳐 해당 인증서를 비활성화 할 수 있습니다.
-
/etc/ca-certificates.conf에서mozilla/AddTrust_External_Root.crt삭제 -
update-ca-certificates -f실행
레드햇 계열 리눅스의 해결법에 대해서는 Christian Heimes의 트윗 쓰레드를 참고해주세요.
이 문제에 보다 자세한 내용과 해결방법에 대해서는 다음 문서들을 참고해주세요.