지난 달 말 중국 인증 당국이 중개 인증 기관이 구글 도메인을 대상으로 한 허가되지 않은 인증서를 발급할 수 있게 허용해 준 사실이 드러나자 구글과 모질라는 빠르게 중국인터넷정보센터(CNNIC) 인증서를 제거한 반면 애플은 iOS와 OS X의 루트 저장소에 그대로 유지했습니다.
이번 주 수요일 애플은 두 운영체제의 보안 업데이트와 논란의 중심부인 CNNIC의 루트 인증서를 그대로 유지하는 내용을 공개했습니다. 관련 사건과 이어진 인증서 포함에 대해서 회사측은 어떠한 성명도 내놓고 있지 않습니다.
문제의 발단은 이렇습니다. MCS 홀딩스라는 이집트 소재 중개 인증 기관이 SSL 보안 접속을 감청하는 장비를 위한 제한이 걸리지 않은(unrestricted) 인증서와 구글의 몇몇 도메인을 대상으로 하는 인증서를 발행하였습니다. 구글의 엔지니어들이 이를 발견하고 빠른 대처로 크롬에서 불량 인증서를 차단하고 CNNIC 관계자들과 접촉을 시도했습니다.
구글은 결국 이 문제에 CNNIC가 책임이 있다고 보고 지난 주 크롬의 신뢰할 수 있는 인증서 저장소에서 루트 인증서를 아예 제거했습니다. 그 결과로 CNNIC 인증서를 사용하는 사이트에 접속할 경우 경고 메시지가 표시되게 됩니다. 이후 모질라도 파이어폭스에서 인증서를 제거했습니다.
마이크로소프트의 경우 3월 24일 인터넷 익스플로러에서 문제의 MCS 홀딩스 인증서를 차단했지만, 신뢰할 수 있는 인증서 저장소에서는 삭제하지 않았습니다. 애플 관계자는 이 내용과 관련한 질문에 어떠한 답변도 하지 않았다고 전해지고 있습니다.
* 출처 : https://threatpost.com/apple-leaves-cnnic-root-in-ios-osx-certificate-trust-lists/112086
* 번역 출처 : http://clien.net/cs2/bbs/board.php?bo_table=news&wr_id=1970023