수백만 대의 iPhone, TV 및 기타 기기가 다음 주에 오프라인 상태가 될 수 있습니다. 여기에 [업데이트된] 이유가 있습니다.
2021/09/24
보안 표준이 만료되면 인터넷 액세스가 손상될 수 있음
다음 주에 연결 문제가 발생할 수 있는 다른 등급의 장치로 Windows 기반 서버를 추가하도록 업데이트 되었습니다.
구형 맥, 아이폰, 플레이스테이션 3, 닌텐도 3DS 게임기, 알려지지 않은 숫자의 스마트 TV, 셋톱 박스 및 기타 "스마트" 기기, 그리고 심지어 일부 플레이스테이션 4s도 다음 주에 인터넷 연결이 끊길 수 있다.
이는 보안 인터넷 연결을 확인하기 위해 널리 사용되는 디지털 인증서가 9월 30일에 만료되고 수백만 대의 구형 기기들은 새로운 인증서를 설치하기 위해 업데이트할 수 없기 때문이다.
모든 Mac이 이 새로운 결함으로 인해 해킹당할 수 있으며, 아직 해결 방법이 없습니다.
HP의 새로운 34인치 일체형 PC는 애플의 아이맥보다 몇 년 앞서는 것처럼 보인다.
더하기: Windows 11이 안드로이드 사용자를 위해 더 나은 업데이트를 받고 있습니다.
따라서 Netflix 시청에서 전자 메일 확인, 일반 웹 사이트 읽기 등 안전한 인터넷 연결이 필요한 많은 활동이 이전 장치에서 작동하지 않을 수 있습니다.
만약 이것이 친숙하게 들린다면, 그것은 보안 연구원이자 컨설턴트인 Scott Helme가 그의 블로그에서 경고했던 2020년 6월에 우리가 경고를 받았기 때문이다. 2020년 후반에, 모든 안드로이드 폰의 3분의 1이 오프라인 상태가 될 것으로 추정되었다.
"당신은 이것에 대해 아무것도 할 필요가 없거나 할 필요가 없을지도 모릅니다,"라고 헬메는 이번 주 자신의 블로그에 썼다. "하지만 저는 몇 가지 것들이 아마도 그날(9월 30일)에 깨질 것이라고 장담합니다."
이전 장치를 온라인 상태로 유지하기 위해 수행할 수 있는 작업
다행히도 구형 안드로이드 기기들은 안드로이드 2.3.6 진저브레드 이상만 있으면 2024년 9월까지 작동시킬 수 있는 해결 방법이 고안되었습니다. (2024년 이후에는 최소한 누가 7.1.1이 필요합니다.)
그러나 MacOS 10.12.0 이전 버전을 실행하는 Mac, iOS 9 이전 버전을 실행하는 iPhone 및 iPad, 5.00 이전 펌웨어 버전을 실행하는 PlayStation 4 콘솔 및 서비스 팩 2 이전 버전을 실행하는 구형 PC에는 도움이 되지 않습니다. 디지털 인증 기관 Let's Encrypt가 게시한 이 영향을 받는 장치 목록에 따르면 모든 장치가 영향을 받을 수 있습니다.
이러한 장치 중 하나가 있고 OS 또는 펌웨어를 업그레이드할 수 있는 경우, 이번 주에 업그레이드하십시오. 예를 들어 Windows XP SP2를 실행하는 모든 PC를 XP SP3로 업그레이드할 수 있으므로 문제가 해결됩니다. Mac은 10.13 High Sierra로 업그레이드만 하면 되며, 모든 iPhone 5 이상에서는 iOS 10을 설치할 수 있습니다. PS4는 이미 며칠 전에 출시된 버전 9.00까지 설치되어 있습니다.
PlayStation 3 콘솔은 업그레이드되거나 업그레이드되지 않을 수도 있습니다. 소니는 PS3용 PS3 펌웨어 업데이트 4.88을 콘솔이 처음 보급된 지 거의 15년 후인 2021년 6월에 출시했다. Sony가 방금 "추가 기능, 향상된 사용성 및 향상된 보안"을 제공했다고 밝힌 펌웨어 업데이트 내용이 무엇인지 알 수 없지만 이 인증서 문제를 해결할 수 있습니다.
Mac, PC 또는 iPhone을 업그레이드할 수 없는 경우 Firefox 웹 브라우저를 설치하여 독립 실행형 앱이 작동하지 않더라도 일정 수준의 인터넷 액세스를 유지할 수 있습니다. 다른 브라우저와 달리 Firefox는 보안 인증서를 위해 기기의 OS에 의존하지 않습니다.
스마트 TV, 스마트 냉장고, 스마트 홈 허브, 가정용 와이파이 라우터 등은 구별하기 어렵다. 특히 펌웨어 업데이트를 받은 적이 없는 경우 2017년 이전에 출시된 많은 장치가 영향을 받을 수 있습니다.
따라서 가능한 경우 장치와 함께 제공된 사용 설명서를 열거나 다운로드하고 펌웨어 또는 운영 체제를 업그레이드해 보십시오.
대체 이게 무슨 짓거리들이야?
이것은 복잡하지만, 매 초마다 전세계적으로 일어나는 수십억 개의 보안 인터넷 연결은 일반적으로 "신뢰의 사슬"이라고 불리는 것에 달려 있다.
서버(예: 웹 사이트)가 PC와 같은 클라이언트와 연결되면 각각 ID를 확인하는 디지털 인증서를 표시합니다. 이 때문에 브라우저는 러시아의 해커 농장이 아닌 체이스 은행과 연결되어 있다는 것을 알고 있습니다.
하지만 이러한 디지털 인증서가 유효한지 어떻게 알 수 있습니까? 인증서는 위조가 발생하지 않는다는 것을 증명하기 위해 민관 열쇠 암호에 의존하지만, 그것은 또 다른 문제입니다. 또한 중요한 것은 만약 그 증명서가 체이스 은행에 정말로 발급되었다면 상급 당국이 확언한다는 것이다. 그리고 또 다른 권위가 그 권위에 대해 보증하고 있습니다.
결국 줄의 끝에 도달하여 루트 인증서라는 것을 얻게 됩니다. 이것들은 암호화된 웹 연결의 중추이다. 루트 인증서 발급자는 보증할 상위 기관이 없으며 루트 인증서는 수년 동안 유효할 수 있습니다.
좋아요, 그래서...
그러나 모든 인증서와 마찬가지로 루트 인증서도 결국 만료됩니다. 그리고 DST 루트 CA X3라고 불리는 매우 중요한 것은 2021년 9월 30일에 만료된다. 이 루트 인증서는 ISRG 루트 X1이라고 하는 훨씬 더 널리 사용되는 다른 루트 인증서를 "크로스 서명"하거나 검증하기 때문에 두 배로 중요합니다.
ISRG 루트 X1은 그것을 발행하는 기관인 Let's Encrypt가 2015년에 완전히 새로운 것이었기 때문에 브라우저와 장치들에 의해 널리 신뢰받지 못했기 때문에 교차 서명되었다. 그래서 더 오래되고 널리 받아들여지는 DST 루트 CA X3가 이를 보증하고 장치에 "당신이 나를 믿는다면, 당신도 이 것을 믿을 수 있다"고 말하게 되었습니다.
기술적으로 말하자면, DST 루트 CA X3가 루트 인증서로 작용하는 동안 ISRG 루트 X1은 "중간" 인증서로 기능하고 있었다.
2015년 이후 Let's Encrypt는 빠르게 성장하여 세계 최대 인증 기관으로 성장했습니다. 한 가지 큰 이유는 그것이 사용하기에 자유롭기 때문입니다. 2015년 이후로 대부분의 웹 연결도 완전히 암호화되었으며, Let's Encypt가 그 큰 이유입니다.
그러므로 발급된 최초의 루트 인증서인 ISRG 루트 X1은 웹사이트와 서버에서 사용하는 수천, 어쩌면 수백만 개의 단기 인증서를 보증하는 데 매우 널리 사용된다.
실제로 2020년 9월 ISRG 루트 X2가 출시되기 전까지 Let's Encrypt가 발급한 유일한 루트 인증서였습니다(그리고 심지어 새로운 인증서에도 교차 서명합니다). 많은 최신 장치들이 ISRG 루트 X1 루트 인증서를 자체적으로 신뢰할 수 있는 업데이트를 받았는데, 이는 2035년 6월까지 유효하기 때문에 좋습니다.
그러나 많은 구형 장치는 여전히 ISRG 루트 X1을 보증하기 위해 교차 싱 루트 인증서 DST 루트 CA X3에 의존하고 있습니다. DST 루트 CA X3가 2021년 9월 30일에 만료되면 해당 장치들은 ISRG 루트 X1이나 이에 의존하는 다운스트림 인증서의 질에 대해 더 이상 신뢰하지 않기 때문에 문제가 됩니다.
모든 인터넷 연결이 끊어집니까?
신뢰할 수 있는 ISRG 루트 X1로 업그레이드되지 않은 장치에서는 이 기능이 어떤 의미를 갖는지 정확히 알 수 없습니다. 몇 백 개의 유효한 루트 인증서가 존재하며 대부분의 장치와 웹 브라우저는 적어도 수십 개의 루트 인증서를 지원합니다.
따라서 개별 서버 인증서가 ISRG 루트 X1 또는 DST 루트 CA X3으로 다시 연결되지 않는 경우 오래된 장치들은 적어도 일부 웹 연결을 할 수 있습니다.
그러나 ISRG 루트 X1은 보안 웹 연결을 설정하는 널리 사용되는(자유롭기 때문에) 소프트웨어 라이브러리인 OpenSSL 1.02 버전도 지원합니다.
업데이트: Windows 서버도 영향을 받을 수 있습니다.
9월 23일, Helme는 자신의 블로그 게시물을 업데이트하여 "일부 보고서들이 원활한 전환을 위해 수동 개입이 필요하다고 제안함에 따라 IIS를 '불확실' 목록에 추가했다."
IIS는 미크로소프트에서 널리 사용되는 웹 서버 소프트웨어인 인터넷 정보 서비스입니다. 1995년에 첫선을 보인 IIS는 정기적인 업데이트와 업그레이드를 받지만, Helme의 트위터 팔로워들 중 일부는 수년 동안 운영되어 온 윈도우 서버들이 소프트웨어 업데이트를 받더라도 같은 인증서를 계속 사용할 것이라고 지적했다.
그래서 저는 실제로 Windows 서버에서 (만료 기간이 문제가 될 수 있는지 테스트하기 위해) 여러 가지 간단한 테스트를 실시했고, (윈도우에 대한) 답이 아마도 울려 퍼질 것이라는 것을 발견했습니다. DST 루트 CA X3에서 발행한 R3을 신뢰할 수 없는 상태로 이동하면 창이 R3을 ISRG X1 체인으로 서비스하도록 강제할 수 있습니다. 2021년 9월 21일
더 보기
따라서 2010년 이후로 실행 중인 IIS 기반 서버는 여러 번 업데이트되더라도 동일한 인증서를 가지고 있을 수 있습니다. 만약 그렇다면, 9월 30일에 일부 클라이언트 기기(예: PC와 스마트폰)에 연결하는 데 문제가 생길 것이다.
한 포스터는 Github에 오래된 인증서를 제거하는 방법에 대한 지침을 게시했다.
IIS는 만료가 임박한 중간 R3 인증서도 강제로 제거하지 않는 한 이전 체인을 처리하므로 각별한 주의가 필요합니다. 방법은 다음과 같습니다. https://t.co/Gb3D4qKLxXSeptember 21, 2021
출처 : Millions of iPhones, TVs and other devices could go offline next week — here's why [updated] | Tom's Guide (tomsguide.com)
첫댓글 소식 감사합니다.
아주 복잡한 문제네요.
EBS 시청에는 문제가 없길 바랍니다
오늘 rodeo 님 올리신 소식에서도 언급됐습니다
'Trump + Q The Great Awakening : 다음 주 수백만 대의 아이폰, TV 및 기타 디바이스가 오프라인이 될 수 있습니다.'
오프 되도 좋고 망가져도 좋고 폭발해도 좋으니 어서 뭔가 일어나길 바랍니당
소식 고맙습니다
안 일어나고 매우 평화로울 것 같네요~ 10월을 기대해보겠습니다!
감사합니다