SHA-1 온라인 인증서 표준 프로토콜 서명 사용 종료

Important

이 문서는 설명된 변경과 동시에 게시되었으며 업데이트되지 않습니다. CA에 대한 최신 정보는 Azure 인증 기관 세부 정보를 참조하세요.

Microsoft는 CA/B 포럼(인증 기관/브라우저 포럼) 기본 요구 사항에 대한 최근 변경 내용을 준수하기 위해 OCSP(온라인 인증서 표준 프로토콜) 서비스를 업데이트하고 있습니다. 이 변경 내용으로 인해 공개적으로 신뢰할 수 있는 모든 PKI(공개 키 인프라)는 2022년 5월 31일까지 OCSP 응답에 대한 SHA-1 해시 알고리즘의 사용을 종료해야 합니다.

Microsoft는 여러 PKI의 인증서를 활용하여 서비스를 보호합니다. 이러한 인증서 중 다수는 이미 SHA-256 해시 알고리즘을 사용하는 OCSP 응답을 사용하고 있습니다. 이 변경으로 인해 Microsoft에서 사용하는 나머지 모든 PKI가 이 새로운 요구 사항을 준수하게 됩니다.

언제 변경되나요?

2022년 3월 28일부터 Microsoft는 SHA-256 해시 알고리즘을 사용하도록 SHA-1 해시 알고리즘을 사용하는 나머지 OCSP 응답자에 대한 업데이트를 시작합니다. 2022년 5월 30일까지 Microsoft 서비스에서 사용하는 인증서에 대한 모든 OCSP 응답은 SHA-256 해시 알고리즘을 사용할 것입니다.

변경 범위는 어떻게 되나요?

이 변경 내용은 SHA-1 해싱 알고리즘을 사용하는 Microsoft 운영 PKI에 대한 OCSP 기반 해지에 영향을 줍니다. 모든 OCSP 응답은 SHA-256 해싱 알고리즘을 사용합니다. 변경 내용은 인증서 자체가 아닌 OCSP 응답에만 영향을 줍니다.

왜 이런 변화가 일어나는 걸까요?

CA/B 포럼(인증 기관/브라우저 포럼)은 투표 법안 SC53에서 이 요구 사항을 만들었습니다. Microsoft는 업데이트된 기준 요구 사항에 따라 구성을 업데이트하고 있습니다.

이 변경이 내게 영향을 주나요?

대부분의 고객은 영향을 받지 않습니다. 그러나 SHA-256을 지원하지 않는 일부 이전 클라이언트 구성에서는 인증서 유효성 검사 오류가 발생할 수 있습니다.

2022년 5월 31일 이후에 SHA-256 해시를 지원하지 않는 클라이언트는 인증서 해지 상태의 유효성을 검사할 수 없으며 구성에 따라 클라이언트에서 오류가 발생할 수 있습니다.

레거시 클라이언트를 SHA-256을 지원하는 클라이언트로 업데이트할 수 없는 경우 클라이언트를 업데이트할 때까지 해지 확인을 사용하지 않도록 설정하여 OCSP를 바이패스하도록 할 수 있습니다. TLS(전송 계층 보안) 스택이 2015년보다 오래된 경우 잠재적인 비호환성에 대한 구성을 검토해야 합니다.

다음 단계

질문이 있는 경우 지원을 통해 문의합니다.