[서버운영] Sectigo(구 COMODO) root 인증서 만료에 따른 접속 장애 해결 [펌]

[서버운영] Sectigo(구 COMODO) root 인증서 만료에 따른 접속 장애 해결 [펌]

 

 

Sectigo 사의 "AddTrust External CA Root" 가 2020-05-30 자로 만료되었습니다.
이로 인해 05-30 저녁에 네이버 등 주요 사이트에 일시적인 장애가 있었고,
일부 사이트들은 아직 오래된 기기나 일부 기기에서 장애가 있는 상황입니다.

# 서버 관리자용 작업

Sectigo 사에서 새로운 루트/체인 인증서를 배포해왔으며,
서버 인증에서 '도메인 + 체인 + 루트 인증서'를 합친 풀 체인 형태의 인증서를 설치하신 경우,
안드로이드 5.0 등 오래된 기기에서 브라우저 접속시 다음 에러 등과 함께 '보안 경고'가 보여지게 됩니다.

NET::ERR_CERT_AUTHORITY_INVALID

이 경우 서버 관리자가 서버 인증서(csr/pfx)내의 체인/루트 인증서를,
각 인증서 판매사의 안내에 따라 새로운 체인/루트 인증서로 변경해주어야 장애가 해결됩니다.
참고로 도메인 인증서는 재발급받지 않고, 체인/루트 인증서 변경만으로 문제가 해결되는 것을 확인했습니다.


## 서버 관리자용 테스트 방법

https://www.ssllabs.com/ssltest/analyze.html

검사시 "Additional Certificates (if supplied)" 항목에서,
빨간색 "Valid until    Sat, 30 May 2020 10:48:38 UTC (expired 1 day, 14 hours ago)  EXPIRED"  만료 문구가 보이면, 서버에서 체인/루트 인증서 변경이 필요합니다.


# 특정 PC 에서만 문제를 겪고 있는 경우

http://testsites.test.certificatetest.com/  에서 첫번째 "AAA Certificate Services root." 사이트가 제대로 열리지 않는 다면,
PC 내 신뢰할 수 있는 루트 인증 기관에 "AAA Certificate Services"이나 교차 인증된 "USERTrust RSA Certification Authority"가 없는 경우입니다.

Windows 7, 10 다양한 기기에서 확인해보았으나, 현재 Windows 10 일부에서만 없는 케이스가 발견되었습니다.

이 경우 regedit 에서 다음 설정이 존재하고, 1일 경우 0 으로 변경후 재부팅해주면 해결됩니다. 

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot
DisableRootAutoUpdate=1
->
DisableRootAutoUpdate=0

* 루트 인증 기관 자동 업데이트 비활성화 : 켜기(1) -> 끄기(0)

정상인 PC들중 대부분은 위 레지스트리 자체가 없었는데, 이 차이가 발생하는 원인은 아직 찾지 못 했습니다.


---


## 인증서 공급사 공식 안내
https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

## 국내 인증서 판매처 안내
https://www.securesign.kr/supports/announceView/53
https://www.certkorea.co.kr/bbs/board.php?bo_table=31&wr_id=30
https://help.cafe24.com/notice/notice_view.php?idx=2847

 

 

출처 : phpschool.com/link/tipntech/82534