SSL

SSL/TLS 인증서

개요

SSL 인증서는 웹 서버의 신원을 보증하고 암호화 통신을 가능하게 하는 전자 문서이다. 현재는 SSL의 후속 버전인 TLS가 표준이지만, 관례적으로 "SSL 인증서"라고 부른다.

SSL 인증서는 쉽게 말해 웹 서버의 신분증이에요. 우리가 은행에 가면 직원이 명찰을 달고 있잖아요? 그걸 보고 "아, 이 사람이 진짜 은행 직원이구나" 하고 신뢰하는 것처럼, SSL 인증서를 보고 브라우저가 "이 서버가 진짜 google.com이구나" 하고 신뢰하는 거예요.

누군가가 가짜 google.com을 만들어도, 정식 SSL 인증서를 발급받을 수 없으니까 브라우저가 "이거 가짜야! 위험해!" 하고 경고를 띄워주는 거죠.

SSL에서 TLS로의 변천사

버전	연도	상태	비고
SSL 1.0	1994	미공개	심각한 보안 결함으로 공개 안 됨
SSL 2.0	1995	폐기	다수 취약점 발견
SSL 3.0	1996	폐기	POODLE 취약점 (2014)
TLS 1.0	1999	폐기	SSL 3.0 기반 업그레이드
TLS 1.1	2006	폐기	2020년 주요 브라우저 지원 종료
TLS 1.2	2008	현재 사용	현재 가장 널리 사용됨
TLS 1.3	2018	최신 권장	더 빠르고 안전함

현재 "SSL 인증서"라고 부르지만, 실제로는 TLS 프로토콜을 사용해요. 이름만 SSL로 굳어진 거예요!

SSL 인증서의 동작 원리

graph TD
    A[🏛️ CA<br/>인증기관<br/>Let's Encrypt 등] -->|인증서 발급| B[🖥️ 웹 서버<br/>Nginx]
    B -->|인증서 제시| C[👤 브라우저]
    C -->|CA에게 검증 요청| A
    A -->|"진짜야!"| C
    C -->|신뢰하고 암호화 통신 시작| B

    style A fill:#FFD700
    style B fill:#90EE90
    style C fill:#87CEEB
Mermaid
복사

인증서 발급부터 사용까지

sequenceDiagram
    participant 서버관리자 as 🧑‍💻 서버 관리자
    participant CA as 🏛️ CA (인증기관)
    participant 서버 as 🖥️ Nginx 서버
    participant 브라우저 as 👤 브라우저

    서버관리자->>CA: ① 인증서 발급 요청<br/>(도메인 소유 증명)
    CA->>CA: ② 도메인 소유 검증<br/>(DNS, HTTP, 이메일)
    CA-->>서버관리자: ③ 인증서 발급 완료<br/>(공개키 + CA 서명 포함)
    서버관리자->>서버: ④ 인증서를 Nginx에 설치

    브라우저->>서버: ⑤ HTTPS 접속 요청
    서버-->>브라우저: ⑥ 인증서 전달
    브라우저->>브라우저: ⑦ 인증서 검증<br/>(CA 서명 확인, 유효기간, 도메인 일치)
    브라우저-->>서버: ⑧ 검증 완료! 암호화 통신 시작 🔐
Mermaid
복사

인증서에 포함된 정보

항목	설명	예시
도메인명	인증서가 적용되는 도메인	example.com, *.example.com
발급 대상	서버 소유자/조직 정보	Example Inc.
발급자	인증서를 발급한 CA	Let's Encrypt, DigiCert
공개키	서버의 공개키	RSA 2048-bit 또는 ECDSA
유효 기간	인증서 사용 가능 기간	2024.01.01 ~ 2024.03.31
서명	CA의 디지털 서명	CA의 개인키로 서명
일련번호	인증서 고유 식별자	고유 숫자

인증서 종류

검증 레벨별

종류	검증 수준	발급 시간	비용	적합한 대상
DV (Domain Validation)	도메인 소유만 확인	수 분	무료~저가	개인 블로그, 소규모 사이트
OV (Organization Validation)	조직 실체 확인	수 일	중가	기업 웹사이트
EV (Extended Validation)	엄격한 조직 심사	수 주	고가	은행, 대기업

적용 범위별

종류	적용 도메인	비용	예시
단일 도메인	1개 도메인	가장 저렴	example.com 전용
와일드카드	서브도메인 전체	중간	*.example.com (www, api, admin 모두)
멀티 도메인 (SAN)	여러 다른 도메인	가장 비쌈	example.com + example.net + example.co.kr

대부분의 개인 프로젝트나 소규모 서비스는 DV 인증서 + 와일드카드면 충분해요. Let's Encrypt에서 무료로 발급받을 수 있어요!

인증서 파일 구성

파일	확장자	설명	Nginx 설정
인증서	.pem, .crt	서버 공개키 + CA 서명	ssl_certificate
개인키	.pem, .key	서버 비밀키 (절대 유출 금지!)	ssl_certificate_key
체인 인증서	.pem, .crt	중간 CA 인증서	ssl_certificate에 포함
풀체인	fullchain.pem	인증서 + 체인 합본	Let's Encrypt 기본 제공

graph LR
    A[루트 CA 인증서<br/>브라우저에 내장] --> B[중간 CA 인증서<br/>체인 인증서]
    B --> C[서버 인증서<br/>내 도메인용]

    D["fullchain.pem<br/>= 서버 인증서 + 체인 인증서"]
    E["privkey.pem<br/>= 서버 개인키 🔐"]

    style A fill:#FFD700
    style B fill:#87CEEB
    style C fill:#90EE90
    style E fill:#FFB3B3
Mermaid
복사

개인키(privkey.pem)는 절대 외부에 유출하면 안 돼요! 이게 유출되면 누군가가 내 서버를 사칭할 수 있어요.

Nginx SSL 상세 설정

server {
    listen 443 ssl http2;
    server_name example.com;

    # 인증서 파일
    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # TLS 프로토콜 (1.2, 1.3만 허용)
    ssl_protocols TLSv1.2 TLSv1.3;

    # 암호화 스위트
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;

    # HSTS (HTTP Strict Transport Security)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # OCSP Stapling (인증서 검증 속도 향상)
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # SSL 세션 캐시 (Handshake 재사용)
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
}
Plain Text
복사

핵심 정리

SSL 인증서 = 웹 서버의 신분증 (신원 보증 + 암호화 키 포함)

현재는 TLS 1.2/1.3이 표준, SSL은 이름만 남아있음

CA(인증기관)가 도메인 소유를 확인하고 인증서를 발급

인증서 종류: DV(간편) / OV(기업) / EV(엄격), 단일/와일드카드/멀티도메인

fullchain.pem(인증서) + privkey.pem(개인키)를 Nginx에 설정