네트워크 오류에 OCSP 검사 적용 [Security Center 1.3의 새로운 기능]
악의적인 행위자가 com.glide.communications.httpclient.ocsp_allow_network_error OCSP(온라인 인증서 상태 프로토콜) 검사를 바이패스하지 못하도록 속성을 구성하는 방법을 알아봅니다.
com.glide.communications.httpclient.ocsp_allow_network_error 권장 값인 false로 설정되지 않고 OCSP(온라인 인증서 상태 프로토콜) 검사에서 네트워크 오류(예: 시간 제한 또는 해지 정보를 가져오는 동안 발생하는 문제)가 발생하면 OCSP 보안 검사를 무시하고 성공한 것으로 간주합니다. 이로 인해 해지된 인증서를 가진 공격자가 웹의 기반이 되는 PKI(공개 키 인프라) 및 디지털 인증서 신뢰를 깨뜨릴 수 있습니다. 해지된 인증서의 사용은 서버가 동기화되지 않은 경우를 제외하고는 악의적인 활동을 나타내는 지표인 경우가 많습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 구성 이름 | com.glide.communications.httpclient.ocsp_allow_network_error |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 데이터 유형 | 부울 |
| 권장 값 | 거짓 |
| 기본값 | 예 |
| 범주 | 커뮤니케이션 |
| 보안 위험 |
|
| 종속성 및 필수 구성요소 | 없음 |
| 기능적 영향 | 이 특성은 연결 또는 제한시간 오류 발생 시 AIA(Authority Information Access) OCSP(온라인 인증서 상태 프로토콜) URI에 대한 요청이 통과 또는 실패 결과를 초래하는지 여부를 판별합니다. false로 설정하면 제공된 서버 인증서의 해지 상태를 확인할 수 없으며 해당 엔드포인트와의 통신 오류가 발생합니다. 속성이 기본값인 true로 설정되었을 때 네트워크 오류가 발생하면 인증서는 해지 관점에서 유효한 것으로 처리됩니다. |