SSL 인증서 업데이트: SHA-1에서 SHA-256로 업그레이드

LastPass 커뮤니티 뉴스 게시판:

LastPass 사용자들에게 최고의 보안을 제공하기 위한 우리의 지속적인 노력에서, LastPass.com에 대한 저희 SSL 인증서는 오늘밤 SHA-1 인증서에서 SHA-256 인증서으로 변경될 것입니다. 저희 것은 계속해서 Thawte 확장 검사 인증서(EV)가 될 것입니다.

왜 지금인가? 우리는 이 과정을 지난 해에 시작했습니다, 하지만 XP의 지난 버전의 지속적인 사용 때문에 우리의 노력은 정체되었습니다. 지금은 구글과 기타 업체들이 SHA-256를 적극적으로 밀고 있으므로, 커뮤니티에 최소한의 영향을 미치면서 성공적으로 이전할 수 있다고 확신합니다.

모든 변화는 무대 뒤에서 일어날 것이므로, LastPass 사용자들은 어떤 문제도 마주치지 않을 것이고 서비스도 방해받지 않을 것입니다. 보고서나 걱정이 있나요? 아래 코멘트에서 공유해 주시거나 저희 지원팀에 연락 바랍니다.

SHA-뭐라고요?

이 모든 번거로움을 위한 목적이 무엇인지 궁금한가요?

웹사이트 URL의 처음에 “잠물쇠” 아이콘과 HTTPS를 찾아야 한다는 것을 알고 계시죠. 이것은 귀하가 웹사이트에 보안 연결을 하고 있다는 표시입니다. 이 보안 연결은 SSL 인증서로 생성되었습니다 (“S”는 HTTPS를 생성합니다). SSL 인증서는, 한 Certificate Authority (CA)가 발행한 것으로, 귀하의 연결을 암호화하고 실제 웹사이트로 연결되었다는 것을 검증합니다.

CA는 일방통행 해시 알고리듬을 실행하여 인증서를 압축한 다음, 이 압축된 인증서 버전을 암호화 “서명”합니다. SSL를 사용하는 대부분의 웹사이트들은 그 해시를 생성하기 위해서 알고리즘 SHA를 이용합니다, 이 가운데 SHA-1이 가장 널리 사용되고 있습니다. 일방 통해 해시들은 모든 웹사이트 인증서에 고유합니다. 귀하의 브라우저가 웹사이트 인증서를 평가할 때, 이것은 SHA-1 해시 자체를 계산합니다, 그런 다음 이것을 웹사이트가 검증으로 제공하는 서명된 해시와 비교합니다. 만약 일치하면, 브라우저는 그린 라이트를 주고 귀하는 귀하의 정보가 안전하다고 안심하게 됩니다.

문제는 SHA-1가 예전처럼 강하지 못하다는 것입니다. 지금은 컴퓨터가 더 빨라지고 더 저렴해 지면서, 공격자들이 인증서를 모조하고 브라우저로 하여금 안전한 웹사이트에 연결되었다고 착각하도록 속일 수 있는 위험은 증가하고 있습니다.

사용업체들은 보안을 늘리고 공격에 대비하기 위해서 더 강력한 다음 세대 알고리즘 SHA-2로 이동하고 있습니다. SHA-2는 더 긴 해시들을 생성하고 현재 SHA-1가 취약성을 보이는 공격에 대해서 저항력이 높습니다. 크롬을 사용한다면, 노란 자물쇠 아이콘과 함께 인증서 경고를 보기 시작했을 것입니다, 이것은 SHA-1 인증서 시대를 마감하고 웹을 SHA-2 쪽으로 전환하기 위한 구글사 노력의 일환입니다.

하루를 마감하면서, 이 이동은 LastPass 사용자로서 귀하의 경험에 영향을 주지 않습니다, 하지만 웹이 진화함에 따라 귀하의 데이터를 안전하게 유지하기 위한 우리의 미션은 더 많은 것을 요구합니다. 이것은 똑같은 LastPass입니다, 하지만 보안이 강화되었습니다.

 

귀 기울여 주셔서 고맙습니다,

LastPass 팀