Google Maps Platform 루트 CA 이전 관련 FAQ

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 도움말에는 다음과 같은 섹션이 있습니다.

진행 중인 Google 루트 CA 이전의 자세한 개요는 현재 어떤 상황이 진행되고 있나요?를 참고하세요.

용어

다음은 이 문서에서 알고 있어야 하는 가장 중요한 용어의 목록입니다. 보다 포괄적으로 관련 용어를 정리한 내용은 Google Trust Services FAQ를 참고하세요.

SSL/TLS 인증서
인증서는 ID에 암호화 키를 바인딩합니다.
SSL/TLS 인증서는 웹사이트에 대한 보안 연결을 인증하고 설정하는 데 사용됩니다. 인증서는 인증 기관에서 발급하고 암호로 서명합니다.
브라우저는 신뢰할 수 있는 인증 기관에서 발급한 인증서를 사용해 전송된 정보가 올바른 서버에 암호화되어 전송되는지 확인합니다.
보안 소켓 레이어(SSL)
보안 소켓 레이어는 인터넷 통신을 암호화하는 데 사용되는 가장 광범위하게 배포된 프로토콜이었습니다. SSL 프로토콜은 더 이상 안전하지 않으므로 사용해서는 안 됩니다.
전송 계층 보안(TLS)
전송 계층 보안은 SSL의 후속 프로토콜입니다.
인증 기관(CA)
인증 기관은 기기와 사용자를 위한 디지털 여권 발급 사무소와 같습니다. 인증 기관에서는 암호로 보호되는 문서(인증서)를 발급하여 인증 대상(예: 웹사이트)의 신원을 증명합니다.
인증서를 발급하기 전에 CA는 인증서의 이름이 인증서를 요청한 사람 또는 인증 대상에 연결되어 있는지 확인해야 합니다.
인증 기관이라는 용어는 Google Trust Services와 같은 조직과 인증서를 발급하는 시스템 모두를 의미할 수 있습니다.
루트 인증서 저장소
루트 인증서 저장소에는 애플리케이션 소프트웨어 공급업체가 신뢰하는 인증 기관의 집합이 포함됩니다. 대부분의 웹브라우저와 운영체제에는 자체 루트 인증서 저장소가 있습니다.
애플리케이션 소프트웨어 공급업체가 명시한 엄격한 요구사항을 준수하는 인증 기관만 루트 인증서 저장소에 포함됩니다.
해당 요구사항은 보통 CA/브라우저 포럼 관련 요구사항과 같은 업계 표준 준수를 포함합니다.
루트 인증 기관
루트 인증 기관(더 정확하게는 기관에서 발급된 인증서)은 인증서 체인의 가장 상위에 있는 인증서입니다.
루트 CA 인증서는 일반적으로 자체 서명됩니다. 루트 CA 인증서와 연결된 비공개 키는 매우 안전한 시설에 보관되고 무단 액세스로부터 보호하기 위해 오프라인 상태에서 유지관리됩니다.
중간 인증 기관
중간 인증 기관(더 정확하게는 기관에서 발급된 인증서)은 인증서 체인에 있는 다른 인증서에 서명하는 데 사용되는 인증서입니다.
중간 CA는 루트 CA 인증서를 오프라인으로 유지하면서 온라인 인증서를 발급하기 위한 기관입니다.
중간 CA는 종속 CA라고도 합니다.
발급 인증 기관
발급 인증 기관(더 정확하게는 기관에서 발급된 인증서)은 인증서 체인에서 가장 하위에 있는 인증서에 서명하는 데 사용되는 인증서입니다.
가장 하위에 있는 이 인증서는 일반적으로 구독자 인증서, 최종 대상 인증서 또는 리프 인증서라고 합니다. 이 문서에서는 서버 인증서라는 용어도 사용됩니다.
인증서 체인
인증서는 발급기관에 연결되고 발급기관에 의해 암호로 서명됩니다. 인증서 체인은 리프 인증서, 모든 발급기관 인증서, 루트 인증서로 구성됩니다.
교차 서명
애플리케이션 소프트웨어 공급업체의 클라이언트는 제품에서 새 CA 인증서를 신뢰할 수 있도록 새 CA 인증서를 포함하기 위해 루트 인증서 저장소를 업데이트해야 합니다. 새 CA 인증서가 포함된 제품이 광범위하게 사용될 때까지 시간이 조금 걸립니다.
이전 클라이언트와의 호환성을 높이기 위해 이전에 설정된 다른 CA에서 CA 인증서를 '교차 서명'할 수 있습니다. 이렇게 하면 동일한 ID(이름 및 키 쌍)에 대한 두 번째 CA 인증서가 실질적으로 생성됩니다.
루트 인증서 저장소에 포함된 CA에 따라 클라이언트는 신뢰할 수 있는 루트까지 다른 인증서 체인을 빌드합니다.

일반 정보

변경된 사항은 무엇인가요?

개요

2017년 Google은 여러 해에 걸쳐 HTTPS에서 사용하는 TLS 인터넷 보안의 기본으로 작용하는 암호화 서명인 루트 인증서를 발급하고 사용하기 위한 프로젝트를 시작했습니다.

그 후 Google Maps Platform 서비스의 TLS 보안은 Google이 자체 발급하는 Google Trust Services(GTS) 루트 CA로 원활하게 전환하기 위해 GMO GlobalSign으로부터 인수한, 신뢰할 수 있는 유명 루트 인증 기관(CA)인 GS Root R2를 통해 보장되었습니다.

실제로 모든 TLS 클라이언트(예: 웹브라우저, 스마트폰, 애플리케이션 서버)가 이 루트 인증서를 신뢰했으며, 따라서 첫 번째 이전 단계에서 Google Maps Platform 서버와 보안 연결을 설정할 수 있었습니다.

하지만 CA는 처음부터 자체 인증서의 만료 시간이 지난 후에는 유효한 인증서를 발급할 수 없도록 설계되었습니다. GS Root R2가 2021년 12월 15일에 만료됨에 따라 Google은 자체 서비스를 Google의 자체 루트 CA GTS GS Root R1에서 발급한 인증서를 사용하여 새로운 CA, GTS Root R1 Cross로 이전할 예정입니다.

대다수의 최신 운영체제와 TLS 클라이언트 라이브러리는 이미 GTS 루트 CA를 신뢰하지만, 대부분의 기존 시스템의 원활한 전환을 보장하기 위해 Google은 현재 이용 가능한 루트 CA 중 가장 오래되고 가장 신뢰할 수 있는 루트 CA, GlobalSign Root CA - R1을 사용하여 GMO GlobalSign로부터 교차 서명을 받았습니다.

따라서 대부분 고객의 Google Maps Platform 클라이언트는 신뢰도가 높은 해당 루트 CA 중 하나(또는 둘 모두)를 이미 인정하며 두 번째 이전 단계에 전혀 영향을 받지 않습니다.

2018년 첫 번째 이전 단계에서 조치를 취하고 Google 안내에 따라 신뢰할 수 있는 Google 루트 CA 번들에서 모든 인증서를 설치한 고객의 경우에도 마찬가지입니다.

다음과 같은 경우 시스템을 확인해야 합니다.

  • 서비스가 비표준 플랫폼 또는 기존 플랫폼에서 실행되거나 자체 루트 인증서 저장소를 유지관리하는 경우
  • 2017~2018년에 Google 루트 CA의 첫 번째 이전 단계에서 조치를 취하지 않거나 신뢰할 수 있는 Google 루트 CA 번들에서 모든 인증서를 설치하지 않은 경우

위의 경우 이 이전 단계에서 Google Maps Platform을 끊김 없이 사용하려면 클라이언트를 추천 루트 인증서로 업데이트해야 할 수도 있습니다.

자세한 기술 세부정보는 아래를 참고하세요. 일반적인 안내는 루트 인증서 저장소에 업데이트가 필요한지 확인하는 방법 섹션을 참고하세요.

또한 서비스가 향후 루트 CA 변경에 영향을 받지 않도록 루트 인증서 저장소를 위의 선별된 루트 CA 번들과 계속 동기화하는 것이 좋습니다. 하지만 변경사항은 사전에 발표됩니다. 최신 정보를 확인하는 방법에 관한 자세한 내용은 이 이전 단계에 관한 업데이트를 받으려면 어떻게 해야 하나요?향후 이전에 관한 사전 알림을 받으려면 어떻게 해야 하나요? 섹션을 참고하세요.

기술 요약

2021년 3월 15일 Google 보안 블로그에 발표된 바와 같이 2018년 초부터 사용된 루트 CA Google Maps Platform인 GS Root R2는 2021년 12월 15일에 만료됩니다. 따라서 Google은 올해 안에 새로 발급된 CA GTS Root R1 Cross로 이전할 예정입니다. 즉 Google 서비스는 이 새로운 CA에서 발급된 TLS 리프 인증서로 점차적으로 전환될 예정입니다.

거의 모든 최신 TLS 클라이언트와 시스템이 이미 GTS Root R1 인증서로 사전 구성되어 있거나 일반 소프트웨어 업데이트를 통해 인증서를 받아야 하며 GlobalSign Root CA - R1은 이전의 레거시 시스템에서도 사용할 수 있습니다.

그러나 다음 두 경우에 모두 해당하면 적어도 시스템을 확인해야 합니다.

  • 서비스가 비표준 플랫폼 또는 기존 플랫폼에서 실행되거나 자체 루트 인증서 저장소를 유지관리하는 경우
  • 2017~2018년에 Google 루트 CA의 첫 번째 이전 단계에서 조치를 취하지 않거나 신뢰할 수 있는 Google 루트 CA 번들에서 모든 인증서를 설치하지 않은 경우

루트 인증서 저장소에 업데이트가 필요한지 확인하는 방법 섹션에 시스템이 영향을 받는지 테스트하는 일반적인 방법이 설명되어 있습니다.

자세한 내용은 루트 인증서 저장소를 신뢰할 수 있는 Google 루트 CA 번들과 동기화해야 하는 이유는 무엇인가요?를 참고하세요.

이 이전 단계에 관한 업데이트를 받으려면 어떻게 해야 하나요?

업데이트를 받으려면 공개 문제 186840968에 별표를 표시하세요. 이 FAQ는 이전 과정 전반에 걸쳐 일반적으로 관심을 끄는 주제가 발견될 때마다 업데이트됩니다.

향후 이전에 관한 사전 알림을 받으려면 어떻게 해야 하나요?

Google 보안 블로그를 따르시기 바랍니다. Google은 또한 블로그에 공개적으로 발표한 후 최대한 빨리 제품별 문서를 업데이트하기 위해 노력합니다.

또한 Google에서는 수많은 고객에게 영향을 줄 수 있는 변경사항에 관한 업데이트를 포럼에 정기적으로 게시하고 있으므로 Google Maps Platform 알림을 구독하시기 바랍니다.

여러 Google 서비스를 사용합니다. 루트 CA 이전이 모든 서비스에 영향을 미치나요?

예. 루트 CA 이전은 모든 Google 서비스와 API에서 발생하지만 타임라인은 서비스별로 다를 수 있습니다. 하지만 Google Maps Platform 클라이언트 애플리케이션에서 사용하는 루트 인증서 저장소에 신뢰할 수 있는 Google 루트 CA 번들에 등록된 모든 서비스가 포함되어 있는 경우에는 서비스가 진행 중인 이전에 받지 않으며 루트 인증서 저장소와 신뢰할 수 있는 Google 루트 CA 번들을 동기화하면 향후 루트 CA 변경에도 영향을 받지 않습니다.

자세한 내용은 루트 인증서 저장소를 신뢰할 수 있는 Google 루트 CA 번들과 동기화해야 하는 이유는 무엇인가요?손상될 위험이 있는 애플리케이션에는 어떤 것이 있나요?를 참고하세요.

아래의 루트 인증서 저장소에 업데이트가 필요한지 확인하는 방법 섹션에서는 시스템 테스트에 관한 일반적인 안내도 제공합니다.

루트 인증서 저장소에 업데이트가 필요한지 확인하는 방법

아래의 테스트 엔드포인트에 대해 애플리케이션 환경을 테스트하세요.

일반적으로 다음과 같은 경우 시스템이 이 루트 CA 변경사항과 호환됩니다.

  • 서비스가 유지관리되는 일반 운영체제에서 실행되며, 서비스에서 사용하는 운영체제와 라이브러리를 모두 패치했으며 자체 루트 인증서 저장소를 유지관리하지 않는 경우 또는
  • Google의 이전 권장사항에 따라 신뢰할 수 있는 Google 루트 CA 번들의 모든 루트 CA를 설치한 경우