인터넷에 연결되지 않은 네트워크(e.g. 인트라넷)에서, 외부 인증기관에서 발급받은 웹 서버 인증서를 사용하면 해당 웹페이지 접속이 많이 느려지게 됩니다.
가장 좋은 방법은 내부에 사설 인증 프로세스를 구축하는 것인데, 그런 게 가능한 경우가 아니라면 아래 GPO를 수정해서 접속 지연 시간을 줄일 수 있습니다.
접속이 지연되는 이유는 인증서의 유효성을 검사하기 위한 알고리즘이 완료되지 못하고 timeout되기 때문입니다. 자세한 내용은 아래 위키피디아에 잘 설명되어 있습니다.
https://en.wikipedia.org/wiki/Certification_path_validation_algorithm
Certification path validation algorithm - Wikipedia
From Wikipedia, the free encyclopedia Jump to navigation Jump to search Test for a valid public key certificate The certification path validation algorithm is the algorithm which verifies that a given certificate path is valid under a given public key infr
en.wikipedia.org
내용을 요약하면, 인증서(공개키) 알고리즘 확인, 만료일자 확인, 만료상태 확인, 발급경로 확인, 키 용도 확인 등을 실행하게 되는데, 인터넷이 안 된다면 이것들이 사실 별 의미가 없습니다. 사용자가 항상 상대방의 신분을 검증할 수 있어야 하는데, 인터넷이 안 되면 그 인증서가 진짜 인증 기관에서 발행한 것인지 발로 뛰어서 확인하지 않으면 알 수 없기 때문입니다.
아무튼 인증서의 만료 상태와 발급 경로를 확인하는데는 CDP와 AIA가 필요합니다.
CDP는 CRL Distribution Point로, Certificate Revocation List를 받을 수 있는 URL입니다.
제 티스토리 인증서를 보면 아래처럼 되어있습니다. 저 주소로 가면 실제 CRL 파일을 받을 수 있습니다.
AIA는 Authority Information Access인데, 여기에는
- CRL 파일 대신 인증서 만료 여부를 검사해주는 OCSP 서버의 주소와,
- 해당 인증 기관의 인증서를 게시해 둔 URL이 기록되어 있습니다.
