인증서가 무엇이고, DigiCert와 같은 공인된 인증 기관에서 인증서를 어떻게 발급하는지 이해하면 Domain Validated(DV), Organization Validated(OV), Extended Validation(EV)이라는 세 가지 종류의 SSL 인증서의 차이점을 이해하는 데 도움이 됩니다. 인증 기관은 웹사이트 소유자의 신원 세부 정보를 검증하여 TLS/SSL 인증서를 발급하는 신뢰할 수 있는 제3자입니다. 이러한 세부 정보를 확인할 수 있는 유일한 방법은 주소 표시줄의 자물쇠 속 정보를 확인하는 것입니다.
TLS/SSL 인증서의 기능은 두 가지입니다. 첫 째, 사용자와 도메인 사이를 통과하는 데이터를 암호화함으로써 웹사이트 사이에 보안 연결을 제공합니다. 둘 째, 인증서는 소유권과 함께 URL을 소유한 기업이나 개인의 신원을 검증합니다. 실제 세상에 인증서가 있는 것처럼 디지털 인증서는 온라인에서 기업이나 조직을 대표할 수 있는 권리를 근본적으로 인증합니다.
각 SSL 인증서 종류의 이름은 인증서 발급 전에 수행되는 검증 단계를 나타냅니다. 예를 들어 Domain Validated 인증서는 URL 소유자에 대한 간단한 인증을 의미하는 한편, Organization Validated 인증서는 도메인 소유자를 검증하고 URL과 관련된 기업 조직을 인증합니다. Extended Validation 인증서는 도메인 소유자, 기업 조직, 관련된 기업의 법적 주체를 요구하기 때문에 신뢰도 높은 신원 인증서입니다.
DV 수준의 절차는 아주 간단합니다. 구매자에게 도메인 또는 URL에 대한 통제권을 입증할 것만을 요구합니다. 이 과정은 인증기관이 도메인 소유자에게 이메일을 보내 수행됩니다(WHOIS 데이터베이스 목록에 포함된 소유자). 인증서가 즉시 필요하다면 편리할 수 있지만 이러한 단순한 형태의 검증은 인터넷에서 가장 낮은 기준이며, 그 만큼의 신뢰를 받을 수 밖에 없습니다.
OV 및 EV 인증서가 다른 점은 인증서를 얻기 위해 요구되는 추가적인 검증 계층과 단계가 있다는 것입니다. EV 및 OV 인증서에 대해 인증 기관은 도메인 소유자는 물론 관련 기업과 연관된 여러 세부 정보(이름, 유형, 상태, 주소 등)를 확인해야 합니다.
EV를 사용하면 9가지 추가 단계가 요구됩니다. 이에는 기업의 공개 전화번호, 영업하는 시간, 등록번호 및 관할권, 도메인 사기 검사, 연락처 블랙리스트 검사, 요청자의 근로 상태를 인증하는 통화가 포함됩니다.
무보증부터 높은 보증 수준의 인증서까지, 웹을 사용하는 동안
기대하는 브랜드 보안에 검증 프로세스를 맞추는 방법은 다음과 같습니다.
모든 종류의 TLS/SSL 인증서는 조직의 인증서가 연결된 조직의 신원 레벨을 고객에게 표시하고, 웹사이트가 암호화되었다는 것을 인증합니다.
Domain Validated(DV) 인증서는 최소한으로 신원을 검증하는 SSL 인증서로, 쉽고 빠르게 얻을 수 있습니다. 악성 봇조차 가능합니다. 이러한 인증서는 비용이 낮으며, 기업 또는 개인이 인증서를 확보하려는 웹 도메인을 통제할 수 있다는 것만 검증하면 됩니다.
DV 인증서를 얻기 위해 웹사이트 소유자는 WHOIS record에 이메일을 보내 도메인 소유권을 확인하기만 하면 됩니다. DV 인증서는 자물쇠 안의 정보를 확인할 때 조직의 어떠한 세부 정보도 볼 수 없습니다. DV 인증서는 웹사이트 암호화에 대한 최소한의 보여주기식 제품입니다.
DV 인증서를 사용하는 웹사이트의 유형:
Organization Validated(OV) 인증서는 9가지 검증 확인을 통해 인증되며, 중간 수준의 기업용 인증서로 여겨집니다. OV 인증서의 경우 인증 기관이 DV 인증서와 유사하게 도메인 소유권을 인증합니다. 그러나 OV 인증서의 자물쇠에 포함된 정보를 보면 웹사이트를 소유한 기업에 대한 세부 정보가 표시됩니다.
OV가 DV와 다른 점은 인증서와 관련된 기업 조직(Inc., Corp, LLC, Ltd, Pty Ltd 등)이 유효하며 좋은 평판을 유지하는지를 인증하기 위해 인증기관에서 여러 단계를 취한다는 것입니다.
가장 많이 사용되는 웹사이트 및 페이지:
Extended Validation(EV) 인증서는 가장 높은 수준의 브랜드 신원 보안을 제공하며, 16단계의 검증 확인을 통해 인증됩니다. EV 인증서의 자물쇠에 포함된 정보를 보면 웹사이트를 소유한 기업 또는 모기업에 대한 세부 정보를 즉시 확인할 수 있습니다.
인증 기관이 DV 및 OV 인증서에 취하는 모든 인증 단계에 더하여, EV 인증서는 기업 조직의 운영 실체에 대한 면밀한 조사, 물리적 주소, 요청자의 근로 상태를 확인하기 위한 전화 통화를 요구합니다.
가장 많이 사용되는 웹사이트 및 페이지:
DigiCert 검증팀은 매년 약 3,750건의 EV 인증서를 거부합니다. 그 중 일부는 사기성 요청으로 인한 것입니다.
URL 표시줄의 자물쇠 아이콘을 클릭하면 웹사이트 소유자의 신원을 확인할 수 있습니다. 불행히도 오늘날 대부분의 피싱 사이트에는 자물쇠와 DV 인증서가 있습니다. 이 때문에 URL 표시줄의 자물쇠 속 정보를 확인하는 것이 중요합니다. 웹사이트가 인증서에 자신의 신원을 넣지 않으려 한다면 신원 정보를 이들과 공유하지 않아야 합니다. 조직의 이름을 확인할 수 있다면 신뢰하는 대상에 대해 더 나은 결정을 할 수 있습니다.
유럽연합은 인터넷 상의 사용자 신뢰성 및 신빙성을 높이는 강력한 온라인 보안 기준에 대한 든든한 대변자입니다. 2015년에 유럽위원회는 결제 거래를 규제하고, 더욱 통합된 유럽 결제 서비스를 만들고, 더욱 안전하고 확실한 결제 환경을 조성해 소비자를 보호하고자 PSD2로 알려진 결제 서비스 지침을 통과시켰습니다. PSD2는 2018년 1월에 발효되어 은행과 기타 온라인 결제 서비스 제공업체에게 검증된 인증서를 사용하도록 요구하고 있습니다. 이러한 인증서는 법적으로 구속력 있는 전자 서명이며 EV 인증서보다도 획득하기 더 어렵습니다.
인터넷이 진화하고, 온라인에서 신원 확인 기준이 점점 더 위태로워지면서 DigiCert는 Certification Authority Browser(CA/B) 포럼에서 적극적인 역할을 맡아 온라인의 더 높은 신원 보증을 옹호하고 있습니다. 디지털 세상에서 진실된 온라인 신원은 실제 세계에서와 마찬가지로 중요하기 때문입니다. 오늘날 디지털로 연결된 세계에서 온라인 신원의 훼손은 우리가 지키고자 열망하는 공공의 신뢰에 부정적 영향을 줍니다.