리눅스 한 학기 살기 - 8주차

들어가며

든-든

이번 주차의 주제는 바로 'ca-certificates'이다. `curl`과 `docker`를 설치할 때 반드시 설치해야 하는 패키지인데, 한 번도 이 녀석이 무엇을 하는지 제대로 찾아본 적이 없다고 생각되어 이번 기회를 통해 조사를 하게 되었다.

 

ca-certificates 패키지는 최신 네트워크 통신의 보안 기반을 형성하는 데 필수적인 구성 요소이다. 이 패키지는 신뢰할 수 있는 인증 기관(Certificate Authority, CA)의 루트 인증서 모음을 제공하며, 이는 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 프로토콜을 사용하는 애플리케이션이 원격 서버의 신원을 확인하고 안전한 암호화된 연결을 설정하는 데 사용된다.[1] 인터넷을 통한 데이터 교환의 기밀성과 무결성을 보장하기 위해, 클라이언트 애플리케이션(예: 웹 브라우저, 이메일 클라이언트, 명령줄 도구)은 통신하려는 서버가 제시하는 디지털 인증서의 유효성을 검증해야 한다. 이 검증 프로세스는 서버 인증서가 시스템의 신뢰 저장소(trust store)에 있는 알려진 CA 루트 인증서 중 하나에 의해 서명되었는지 확인하는 과정을 포함한다.[2] ca-certificates 패키지는 이러한 신뢰할 수 있는 루트 인증서의 중앙 집중식 저장소를 제공하고 관리하는 표준 메커니즘을 제공함으로써 이 프로세스를 용이하게 한다.[2]

 

이 글은 Ubuntu 24.04 LTS의 공식 패키지 저장소 내 ca-certificates 패키지의 가용성 및 세부 정보 확인, 패키지의 역할 및 중요성 설명, 포함된 주요 내용물 조사, 표준 설치 및 관리 절차 분석, 설치된 인증서 검사 및 확인 방법 탐구, 이전 버전에 비해 주목할 만한 변경 사항 조사, 그리고 이 패키지에 의존하는 일반적인 소프트웨어 식별을 포함하여 사용자 질의의 모든 측면을 다룬다. 분석은 공개적으로 사용 가능한 문서, 기술 포럼 토론 및 공식 패키지 정보를 기반으로 한다.

 

패키지 가용성 및 세부 정보 (Ubuntu 24.04 LTS)

Ubuntu 24.04 LTS (Noble Numbat)의 공식 main 저장소에는 ca-certificates 패키지가 포함되어 있어 표준 패키지 관리 도구를 통해 쉽게 설치할 수 있다.

• 패키지 존재: ca-certificates 패키지는 Ubuntu 24.04 LTS의 표준 설치에서 사용 가능하다.[5]
• 버전 정보: Ubuntu 24.04 LTS 출시 시점의 ca-certificates 패키지 버전은 20240203이다.[5] 이 버전은 패키지 관리 시스템을 통해 업데이트될 수 있으며, 일반적으로 Mozilla 재단에서 유지 관리하는 CA 번들의 최신 버전을 반영한다.[6]
• 아키텍처: 이 패키지는 아키텍처 독립적(all)으로 표시되며, 이는 다양한 하드웨어 아키텍처(예: amd64, arm64, ppc64el, s390x 등)에서 동일한 패키지 파일을 사용할 수 있음을 의미한다.[5]
• 의존성: ca-certificates 패키지의 빌드 및 실행 시점 의존성에는 시스템의 암호화 및 스크립팅 기능에 필수적인 다른 핵심 구성 요소가 포함된다. 주요 의존성 패키지는 다음과 같다 [5]:
  • openssl: SSL/TLS 프로토콜 및 기타 암호화 기능을 위한 핵심 라이브러리 및 도구킷. 인증서 처리 및 검증에 필수적이다.
  • python3: 패키지 내 스크립트 실행에 사용될 수 있다.
  • python3-cryptography: Python 환경에서 암호화 작업을 위한 라이브러리.
  • debhelper-compat, po-debconf: Debian/Ubuntu 패키지 빌드 및 구성 프로세스를 위한 도구.
• 핵심 의존성: ca-certificates 패키지 자체는 apt, openssl, curl, wget 등과 같은 많은 핵심 시스템 유틸리티 및 네트워크 통신을 수행하는 애플리케이션의 의존성 패키지이다.[8] 따라서 가장 최소한의 Ubuntu 설치에서도 거의 항상 설치되어 있다.[9]

 

역할 및 중요성

ca-certificates 패키지는 최신 컴퓨팅 시스템에서 보안 통신의 초석 역할을 한다. 그 중요성은 SSL/TLS 인증서 검증 및 보안 연결 설정에서의 핵심 기능에서 비롯된다.

• SSL/TLS 인증서 검증: 인터넷을 통해 서버(예: 웹사이트, API 엔드포인트)에 연결할 때 서버는 클라이언트에게 디지털 인증서를 제시한다. 이 인증서는 서버의 신원을 증명하고 클라이언트와 서버 간의 통신을 암호화하는 데 사용되는 공개 키를 포함한다.[2] 클라이언트 애플리케이션(예: 웹 브라우저, curl, wget)은 이 서버 인증서가 신뢰할 수 있는 제3자, 즉 인증 기관(CA)에 의해 발급 및 서명되었는지 확인해야 한다.[2] ca-certificates 패키지는 이러한 신뢰할 수 있는 CA의 공개 루트 인증서 모음을 제공한다.[1] 클라이언트는 이 저장소를 사용하여 서버 인증서의 서명을 확인한다. 서버 인증서가 저장소의 신뢰할 수 있는 CA 중 하나에 의해 서명된 경우(또는 해당 CA로 이어지는 유효한 인증서 체인이 있는 경우), 서버의 신원이 확인되고 연결이 안전한 것으로 간주된다.[3]
• 보안 연결 설정: 신원 확인 후, 클라이언트와 서버는 SSL/TLS 핸드셰이크 프로세스를 통해 암호화된 세션을 설정한다. 이 프로세스에는 서버 인증서의 공개 키를 사용하여 세션 키를 안전하게 교환하는 과정이 포함된다. ca-certificates 패키지가 제공하는 신뢰할 수 있는 루트 인증서는 이 핸드셰이크의 초기 신뢰 설정 단계에 필수적이다.[2]
• 중앙 집중식 신뢰 관리: ca-certificates 패키지가 없다면 각 애플리케이션은 자체적으로 신뢰할 수 있는 CA 목록을 관리해야 한다. 이는 비효율적이고 일관성이 없으며 보안 업데이트를 어렵게 만든다. 이 패키지는 시스템 전체의 신뢰 저장소를 제공하여 모든 SSL/TLS 기반 애플리케이션이 일관된 신뢰 기준을 공유하고 중앙에서 관리되는 업데이트의 이점을 누릴 수 있도록 한다.[2] 패키지는 CA 인증서의 다운로드 및 수동 가져오기 프로세스를 단순화한다.[2]
• 중간자 공격(MITM) 방지: CA 시스템의 주요 목표는 중간자 공격을 방지하는 것이다. 공격자가 사용자와 합법적인 서버 사이에 자신을 삽입하여 통신을 가로채거나 변조하려고 시도할 수 있다. 서버 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 확인함으로써 클라이언트는 자신이 의도한 서버와 직접 통신하고 있는지 더 높은 확신을 가질 수 있다.[2]
• 생태계 지원: 웹 브라우징 외에도 apt를 통한 보안 패키지 다운로드, Docker 이미지 가져오기, API 통신, 데이터베이스 연결 등 다양한 네트워크 작업이 ca-certificates 패키지가 제공하는 신뢰 인프라에 의존한다.[8]

 

요약하면, ca-certificates 패키지는 시스템이 네트워크 통신에서 신뢰를 설정하고 검증하는 기본 메커니즘을 제공하여 사용자와 데이터를 보호하는 데 중요한 역할을 한다.

 

패키지 내용물

ca-certificates 패키지의 핵심 내용물은 신뢰할 수 있는 인증 기관(CA)의 루트 인증서 모음이다. 이러한 인증서는 시스템의 신뢰 저장소(trust store)의 기초를 형성한다.

• 루트 인증서 모음: 패키지에는 PEM(Privacy-Enhanced Mail) 형식의 CA 인증서 파일이 포함되어 있다.[1] PEM 형식은 -----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 마커로 구분되는 Base64 인코딩 텍스트 블록으로, 여러 인증서를 단일 파일에 연결할 수 있다.[11]
• 인증서 출처: 포함된 CA 인증서 세트는 주로 Mozilla 재단에서 선택하고 배포하는 목록을 기반으로 한다.[1] Mozilla는 웹 브라우저 Firefox에서 사용하는 신뢰할 수 있는 CA 목록을 신중하게 관리하며, 이 목록은 업계에서 널리 채택되고 있다. 패키지는 또한 Debian 인프라에서 사용하는 CA를 포함할 수 있다.[1]
• 저장 위치: 패키지에 의해 제공되는 시스템 전체의 CA 인증서 파일은 일반적으로 /usr/share/ca-certificates/ 디렉토리 아래의 하위 디렉토리에 저장된다.[11] 이 디렉토리는 패키지 관리 시스템에 의해 관리되며, 사용자가 직접 수정해서는 안 된다.
• 신뢰성 감사 부재: 중요한 점은 이 패키지에 포함된 CA 인증서가 Debian/Ubuntu 프로젝트에 의해 신뢰성이나 RFC 3647과 같은 표준 준수 여부에 대해 독립적으로 감사되지 않는다는 것이다.[7] 어떤 CA를 신뢰할지에 대한 최종 책임은 로컬 시스템 관리자에게 있다.[7] 관리자는 /etc/ca-certificates.conf 파일을 편집하여 특정 CA를 비활성화(distrust)할 수 있다.[18]
• 업데이트 메커니즘: 패키지에는 CA 인증서 저장소를 업데이트하는 유틸리티(update-ca-certificates)가 포함되어 있다. 이 유틸리티는 /usr/share/ca-certificates/ 및 /usr/local/share/ca-certificates/ 디렉토리에서 인증서를 수집하고, /etc/ca-certificates.conf 구성 파일을 읽어 활성화된 인증서를 /etc/ssl/certs/ 디렉토리에 심볼릭 링크로 생성하고, 모든 활성 인증서를 단일 파일 /etc/ssl/certs/ca-certificates.crt로 연결한다.[11]

 

본질적으로 ca-certificates 패키지는 널리 인정받는 CA의 루트 인증서를 편리하게 배포하고, 시스템 전체의 신뢰 저장소를 관리하기 위한 프레임워크를 제공한다.

 

패키지 설치

Ubuntu 시스템에서 ca-certificates 패키지를 설치하는 것은 표준 apt 패키지 관리자를 사용하여 간단하게 수행할 수 있다.

• 표준 설치 명령어: 터미널에서 다음 명령어를 실행하여 ca-certificates 패키지를 설치하거나 최신 버전으로 업데이트할 수 있다:

sudo apt update  
sudo apt install ca-certificates

sudo apt update는 사용 가능한 패키지 목록을 새로 고치고, sudo apt install ca-certificates는 패키지 자체와 필요한 모든 의존성(예: openssl)을 다운로드하고 설치한다.[9] -y 플래그를 추가하면 확인 프롬프트 없이 자동으로 설치를 진행할 수 있다.[15]

• 설치 결과: 패키지를 설치하면 신뢰할 수 있는 CA 인증서 모음이 /usr/share/ca-certificates/에 배치되고, 시스템의 신뢰 저장소를 관리하는 데 사용되는 update-ca-certificates 유틸리티가 설치된다.[2] 설치 프로세스 중에 update-ca-certificates가 자동으로 실행되어 초기 시스템 신뢰 저장소(/etc/ssl/certs/ 및 /etc/ssl/certs/ca-certificates.crt)를 생성할 수 있다.
• 사전 설치 가능성: ca-certificates 패키지는 많은 핵심 시스템 구성 요소(예: apt 자체, openssl, curl)의 의존성이므로, 대부분의 표준 Ubuntu 설치(데스크톱 및 서버 포함)에는 이미 설치되어 있을 가능성이 높다.[9] 따라서 apt install 명령은 종종 패키지가 이미 최신 버전임을 확인하거나 사용 가능한 업데이트가 있는 경우 최신 버전으로 업그레이드하는 역할을 한다.[9] 매우 최소화된 컨테이너 이미지나 특수 빌드가 아닌 이상, 사용자가 이 패키지를 명시적으로 설치해야 하는 경우는 드물다.[9]
• 컨테이너 환경: Docker와 같은 컨테이너 환경에서는 기본 이미지에 ca-certificates가 포함되지 않을 수 있다. 컨테이너 내에서 HTTPS 연결(예: apt update 또는 curl/wget 사용)이 필요한 경우, 먼저 apt update && apt install -y ca-certificates를 실행하여 패키지를 설치해야 할 수 있다.[14]

 

요약하면, apt install ca-certificates는 Ubuntu 시스템에서 SSL/TLS 통신에 필요한 신뢰 인프라를 설정하는 표준적이고 간단한 방법이다.

 

CA 인증서 관리

ca-certificates 패키지가 설치되면 Ubuntu 시스템은 신뢰할 수 있는 CA 인증서를 관리하기 위한 도구와 표준화된 절차를 제공한다. 핵심 유틸리티는 update-ca-certificates이며, 특정 디렉토리 구조와 구성 파일을 사용한다.

• update-ca-certificates 유틸리티: 이 명령줄 도구는 시스템의 신뢰 저장소를 업데이트하는 역할을 한다.[2] 주요 기능은 다음과 같다:
  • /etc/ssl/certs/ 디렉토리를 업데이트한다. 이 디렉토리에는 개별 CA 인증서 파일에 대한 해시 기반 이름의 심볼릭 링크가 포함되어 OpenSSL과 같은 라이브러리가 효율적으로 인증서를 찾을 수 있도록 한다.[18]
  • /etc/ssl/certs/ca-certificates.crt 파일을 생성(또는 갱신)한다. 이 파일은 시스템에서 신뢰하는 모든 CA 인증서를 PEM 형식으로 연결한 단일 번들 파일이다.[11] 많은 애플리케이션이 이 번들 파일을 직접 사용한다.
  • 이 명령은 일반적으로 루트 권한(sudo)으로 실행해야 한다.
  • 옵션:
    • -v 또는 --verbose: 자세한 정보(예: OpenSSL rehash 출력)를 표시한다.[20]
    • -f 또는 --fresh: /etc/ssl/certs/ 디렉토리의 기존 심볼릭 링크를 모두 제거하고 새로 생성한다. 이는 오래되거나 깨진 링크를 정리하는 데 유용하다.[11]
• 인증서 소스 디렉토리: update-ca-certificates는 다음 두 기본 위치에서 CA 인증서를 찾는다 [11]:
  • /usr/share/ca-certificates/: 패키지 관리 시스템(apt)을 통해 배포되는 시스템 제공 CA 인증서가 저장되는 곳이다. 이 디렉토리의 내용은 일반적으로 직접 수정해서는 안 된다.[11]
  • /usr/local/share/ca-certificates/: 시스템 관리자가 로컬 또는 사용자 지정 CA 인증서를 추가하는 곳이다. 이 디렉토리에 .crt 확장자를 가진 PEM 형식의 인증서 파일을 넣으면 update-ca-certificates 실행 시 자동으로 신뢰 저장소에 포함된다.[11]
• 구성 파일 (/etc/ca-certificates.conf): 이 파일은 /usr/share/ca-certificates/ 디렉토리에 있는 시스템 제공 CA 중 어떤 것을 신뢰할지(활성화할지) 명시적으로 제어한다.[16]
  • 각 줄은 /usr/share/ca-certificates/ 아래의 CA 인증서 파일 경로를 지정한다.
  • #으로 시작하는 줄은 주석으로 처리되어 무시된다.
  • !로 시작하는 줄은 해당 CA 인증서를 명시적으로 비활성화(distrust)한다.[16]
  • /usr/local/share/ca-certificates/에 있는 인증서는 이 파일에 명시적으로 나열할 필요 없이 암묵적으로 신뢰된다.[16]
• 로컬/사용자 지정 CA 관리 절차:
  1. 인증서 획득 및 형식 변환: CA 인증서를 PEM 형식으로 준비한다. 인증서가 DER 형식(.cer, .der)인 경우 openssl x509 명령을 사용하여 PEM 형식(.crt)으로 변환해야 한다. 예: openssl x509 -inform der -in certificate.cer -out certificate.crt.[13] 인증서 파일은 반드시 .crt 확장자로 끝나야 update-ca-certificates에 의해 인식된다.[13]
  2. 인증서 복사: 변환된 .crt 파일을 /usr/local/share/ca-certificates/ 디렉토리로 복사한다. 관리를 용이하게 하기 위해 하위 디렉토리를 만드는 것이 좋다 (예: sudo mkdir /usr/local/share/ca-certificates/extra 후 sudo cp myca.crt /usr/local/share/ca-certificates/extra/).[11] 파일 권한이 올바른지 확인한다 (예: sudo chmod 644 /usr/local/share/ca-certificates/extra/myca.crt).[13]
  3. 신뢰 저장소 업데이트: sudo update-ca-certificates 명령을 실행하여 변경 사항을 시스템 전체 신뢰 저장소에 적용한다.[2]
• CA 인증서 제거/비활성화 절차:
  • 로컬 CA: /usr/local/share/ca-certificates/ 디렉토리에서 해당 .crt 파일을 삭제한다.[11] 그 후 sudo update-ca-certificates (또는 더 철저한 정리를 위해 sudo update-ca-certificates --fresh)를 실행한다.[11]
  • 시스템 제공 CA: /etc/ca-certificates.conf 파일을 편집하여 비활성화하려는 인증서 파일 경로 앞에 ! 문자를 추가한다.[16] 그 후 sudo update-ca-certificates를 실행한다.
• 대체 관리 방법 (dpkg-reconfigure): sudo dpkg-reconfigure ca-certificates 명령은 텍스트 기반 사용자 인터페이스(TUI)를 제공하여 /usr/share/ca-certificates/에 있는 시스템 제공 CA 목록을 보여주고 사용자가 신뢰할 CA를 선택/해제할 수 있게 한다. 이 과정은 내부적으로 /etc/ca-certificates.conf 파일을 수정하고 update-ca-certificates를 실행한다.[13] 그러나 일부 자료에 따르면 최신 Ubuntu 버전에서는 /usr/local/share/ca-certificates/에 로컬 인증서를 추가할 때 이 명령이 반드시 필요하지 않을 수 있다.[19]
• 훅(Hook) 메커니즘: update-ca-certificates는 신뢰 저장소를 업데이트한 후 /etc/ca-certificates/update.d/ 디렉토리에 있는 스크립트를 실행한다. 이를 통해 다른 패키지(예: ca-certificates-java)가 시스템 CA 저장소 변경 사항과 통합될 수 있다. 예를 들어, Java 키 저장소(cacerts)를 자동으로 업데이트하는 데 사용될 수 있다.[12]

 

Ubuntu/Debian 시스템의 CA 인증서 관리는 계층적 접근 방식을 보여준다. 시스템 제공 CA는 패키지 업데이트를 통해 자동으로 관리되며, 관리자는 /etc/ca-certificates.conf (또는 dpkg-reconfigure)를 통해 명시적으로 제어할 수 있다. 로컬 및 사용자 지정 CA는 /usr/local/share/ca-certificates/ 디렉토리를 통해 간단하고 암묵적인 신뢰 방식으로 추가된다. update-ca-certificates 명령은 이러한 여러 계층의 구성을 통합하여 최종 활성 신뢰 저장소를 구축하는 조정자 역할을 한다. 이러한 설계는 유연성과 관리 용이성을 모두 제공한다.

 

표 1: 핵심 인증서 관리 명령어 (Ubuntu/Debian)

명령어	설명	주요 파일/디렉토리 상호작용
sudo apt install ca-certificates	ca-certificates 패키지 및 관련 의존성(예: update-ca-certificates 유틸리티)을 설치하거나 최신 버전으로 업데이트한다.	/usr/share/ca-certificates/, /usr/sbin/update-ca-certificates
sudo update-ca-certificates	시스템 신뢰 저장소를 업데이트한다. /etc/ssl/certs/에 심볼릭 링크를 생성/갱신하고 /etc/ssl/certs/ca-certificates.crt 번들 파일을 생성한다.	입력: /etc/ca-certificates.conf, /usr/share/ca-certificates/, /usr/local/share/ca-certificates/ 출력: /etc/ssl/certs/, /etc/ssl/certs/ca-certificates.crt
sudo update-ca-certificates --fresh	update-ca-certificates와 동일하지만, 업데이트 전에 /etc/ssl/certs/의 기존 심볼릭 링크를 모두 제거한다.	위와 동일 (정리 기능 추가)
sudo dpkg-reconfigure ca-certificates	TUI를 통해 /usr/share/ca-certificates/의 시스템 CA 활성화/비활성화를 관리한다. 내부적으로 /etc/ca-certificates.conf를 수정하고 update-ca-certificates를 실행한다.	/etc/ca-certificates.conf, /usr/share/ca-certificates/ (읽기), update-ca-certificates 호출

728x90

설치된 CA 인증서 검사 및 확인

시스템에 설치된 CA 인증서를 확인하고 특정 인증서의 신뢰 상태를 검증하는 여러 방법이 있다. 이는 시스템의 보안 상태를 감사하고 연결 문제를 해결하는 데 중요하다.

• 신뢰하는 CA 주체(Subject) 목록 확인:
  • 방법 1 (번들 파일 파싱): awk와 openssl x509 유틸리티를 조합하여 시스템의 모든 활성 CA 인증서가 연결된 번들 파일(/etc/ssl/certs/ca-certificates.crt)을 파싱하고 각 인증서의 주체(Subject) 정보를 추출할 수 있다.[8]

awk \-v cmd='openssl x509 \-noout \-subject' '/BEGIN/{close(cmd)};{print | cmd}' \< /etc/ssl/certs/ca-certificates.crt

이 명령어는 번들 파일을 읽어 각 BEGIN CERTIFICATE와 END CERTIFICATE 블록 사이의 내용을 openssl x509 명령으로 파이프하여 주체 정보를 출력한다.

• 방법 2 (trust 명령어 사용): p11-kit 패키지에 포함된 trust 명령어를 사용하는 것이 더 현대적이고 통합된 방법이다 (p11-kit은 종종 ca-certificates의 의존성으로 설치되거나 함께 설치된다).[4] trust list --filter=ca-anchors 명령은 p11-kit 신뢰 모듈에 의해 인식되는 신뢰할 수 있는 CA 앵커 목록을 표시한다.[17] 다른 필터(예: --filter=certificates - 모든 인증서, --filter=blacklist - 블랙리스트된 인증서)도 사용할 수 있다.[25]
• 방법 3 (수동 검사): /etc/ssl/certs/ 디렉토리 내의 파일(주로 심볼릭 링크)이나 /etc/ssl/certs/ca-certificates.crt 번들 파일을 직접 검사할 수도 있지만, 이는 자동화된 스크립팅이나 빠른 확인에는 덜 실용적이다.[16]
  • 특정 CA의 존재/신뢰 상태 확인:
• 위의 목록 확인 방법 중 하나를 grep과 같은 텍스트 검색 도구와 결합하여 특정 CA의 이름이나 다른 속성을 검색할 수 있다.[17] 예: trust list --filter=ca-anchors | grep "My Company CA" 또는 awk... | grep "My Company CA".
  • 서버 인증서의 신뢰 저장소 기반 검증:
• openssl s_client 사용: 이 명령은 특정 호스트 및 포트로 SSL/TLS 연결을 시도하고 서버가 제시하는 인증서 체인을 표시하며, 시스템의 기본 신뢰 저장소를 기준으로 검증 결과를 보여준다.[21]

openssl s\_client \-connect example.com:443 \-showcerts

출력의 마지막 부분에서 Verify return code: 0 (ok)를 확인하면 시스템이 해당 서버의 인증서를 신뢰한다는 의미이다.[16] 이는 OpenSSL을 사용하는 애플리케이션이 수행하는 검증 과정을 시뮬레이션한다.

 

• curl 사용: curl -v https://example.com 명령은 암묵적으로 시스템 신뢰 저장소를 사용하며, 연결 및 검증 과정에 대한 자세한 정보를 출력한다.[8] 성공적인 검증은 * SSL certificate verify ok.와 같은 메시지로 표시될 수 있으며, 실패 시 오류 메시지가 출력된다. --cacert 옵션을 사용하여 특정 CA 파일로 검증하도록 지정할 수도 있다.[8]
  • 로컬 인증서 파일 검증:
• 시스템 저장소 기준: openssl verify certificate.pem 명령은 주어진 인증서 파일(certificate.pem) 자체의 유효성과 해당 인증서의 발급자 체인이 시스템의 기본 신뢰 저장소에 있는 루트 CA로 연결되는지 확인한다.[27]
• 특정 CA 파일 기준: openssl verify -CAfile specific_ca.crt certificate.pem 명령은 certificate.pem이 specific_ca.crt에 의해 직접 또는 간접적으로 발급되었는지 확인한다.[27]
• 중개 인증서 포함: 검증에 중개 CA가 필요하고 별도의 파일(intermediates.pem)로 제공되는 경우, openssl verify -untrusted intermediates.pem -CAfile root.crt certificate.pem과 같이 -untrusted 옵션을 사용한다.[26]
  • 인증서 세부 정보 보기: openssl x509 -in certificate.pem -text -noout 명령을 사용하여 특정 인증서 파일의 모든 세부 정보(주체, 발급자, 유효 기간, 확장 등)를 사람이 읽을 수 있는 형식으로 볼 수 있다.[23]

 

인증서 검증은 다면적인 과정이다. 설치된 CA 목록을 확인하는 것은 단순히 해당 CA가 시스템에 존재함을 의미하지만, openssl s_client나 openssl verify와 같은 도구는 특정 시나리오(실시간 연결, 로컬 파일 검증, 복잡한 인증서 체인)에서 실질적인 신뢰가 작동하는지 확인하는 데 필수적이다. 서버 측의 잘못된 구성이나 누락된 중개 인증서로 인해 문제가 발생할 수 있으며 [21], 이는 단순히 CA 목록을 확인하는 것만으로는 드러나지 않는다. trust 명령어는 /etc/ssl/certs/ca-certificates.crt를 직접 파싱하는 것보다 더 강력하고 통합된 인터페이스를 제공하며, 이는 암호화 접근을 통합하려는 p11-kit 인프라의 일부이기 때문이다.[17]

 

표 2: 인증서 검사 및 확인 명령어

명령어	목적/사용 사례	예제 구문
awk/openssl x509	시스템 신뢰 저장소 번들 파일에서 모든 신뢰하는 CA의 주체(Subject) 목록 확인.	`awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print
trust list	p11-kit 신뢰 모듈을 사용하여 신뢰하는 CA 앵커, 모든 인증서 또는 블랙리스트된 인증서 목록 확인.	trust list --filter=ca-anchors
openssl s_client	원격 서버에 연결하여 제시된 인증서 체인을 확인하고 시스템 신뢰 저장소 기준 검증 수행.	openssl s_client -connect example.com:443 -showcerts
openssl verify	로컬 인증서 파일의 유효성 및 시스템 신뢰 저장소 또는 특정 CA 기준 신뢰 여부 확인.	openssl verify cert.pem openssl verify -CAfile ca.pem cert.pem
curl -v	HTTPS URL에 연결하여 시스템 신뢰 저장소 기준 검증 결과 포함 상세 정보 확인.	curl -v https://example.com
openssl x509	로컬 인증서 파일의 모든 세부 정보(주체, 발급자, 유효 기간 등) 확인.	openssl x509 -in cert.pem -text -noout

 

Ubuntu 24.04 LTS 특정 사항 및 고려 사항

Ubuntu 24.04 LTS (Noble Numbat)에서 ca-certificates 패키지는 이전 버전과 유사한 핵심 기능을 유지하지만, 몇 가지 주목할 만한 사항과 컨텍스트가 있다.

• 패키지 버전: Ubuntu 24.04 LTS 출시 시점의 기본 ca-certificates 패키지 버전은 20240203이다.[5] 이 버전은 당시 사용 가능한 최신 CA 인증서 번들을 반영한다.
• 핵심 기능의 일관성: 현재까지의 분석에 따르면, ca-certificates 패키지 자체의 기본적인 작동 방식, 즉 update-ca-certificates 유틸리티, /etc/ca-certificates.conf 구성 파일, /usr/share/ca-certificates/ 및 /usr/local/share/ca-certificates/ 디렉토리를 통한 인증서 관리 메커니즘은 이전 Ubuntu LTS 버전 및 Debian 표준과 일치하는 것으로 보인다.[11] Ubuntu 24.04 릴리스 노트나 관련 토론에서 이 패키지 자체에 대한 주요 기능 변경이나 중대한 호환성 문제(breaking changes)는 명시적으로 언급되지 않았다.[28] 주요 변경 사항은 주로 포함된 인증서 번들의 업데이트에 초점을 맞춘다 (과거 릴리스 업데이트 예: [6]).
• 잠재적 고려 사항: 메모리 사용량: 특정 환경에서 update-ca-certificates 명령 실행 시 과도한 메모리를 소비한다는 보고가 있었다. 이 문제는 Ubuntu 24.04 기반의.NET SDK Docker 이미지를 사용하는 CI/CD 파이프라인에서 관찰되었으며, 이전 버전(Jammy)에서는 발생하지 않았다고 한다.[29] 이는 특정 환경에서의 회귀(regression) 또는 다른 구성 요소와의 상호작용 문제일 수 있으며, 보편적인 문제는 아닐 수 있다. 그럼에도 불구하고, Ubuntu 24.04로 마이그레이션하거나 특히 리소스가 제한된 환경 또는 자동화된 빌드 시스템에서 배포하는 관리자는 이 점을 인지하고 특정 워크로드에서 테스트를 수행하는 것이 권장된다. 안정적인 핵심 구성 요소라도 새로운 릴리스나 특정 환경에서는 예기치 않은 동작을 보일 수 있으며, 이 보고된 문제는 24.04 관련 잠재적 고려 사항으로 주목할 가치가 있다.
• 관련 생태계 변화 (컨텍스트): Ubuntu 24.04 LTS는 전반적인 보안 강화를 목표로 하는 여러 변경 사항을 도입했다. 예를 들어, apt 저장소 서명에 대한 요구 사항이 강화되어 최소 2048비트 RSA 키 또는 Ed25519, Ed448과 같은 최신 알고리즘을 사용한 서명이 필요하게 되었다.[30] 이는 암호화 신뢰와 관련이 있지만, apt 및 gpg에 의해 직접 관리되며 ca-certificates 패키지의 주된 역할인 SSL/TLS 검증과는 별개이다. 그러나 이러한 변화는 24.04 릴리스의 전반적인 보안 환경 개선 추세를 반영한다.
• 결론: 검토된 자료에 따르면, Ubuntu 24.04 LTS의 ca-certificates 패키지 자체에는 이전 버전에 비해 근본적인 기능 변경이나 주요한 새로운 고려 사항이 도입되지 않았다. 버전 업데이트를 통해 최신 CA 번들을 제공하며, 핵심 관리 메커니즘은 안정적으로 유지된다. 다만, 특정 환경에서의 성능(메모리 사용량) 변화 가능성은 염두에 두어야 한다.

 

ca-certificates에 의존하는 소프트웨어

ca-certificates 패키지는 Ubuntu 시스템에서 안전한 네트워크 통신을 수행하는 광범위한 소프트웨어 및 시스템 구성 요소에 필수적인 기반을 제공한다. 시스템의 중앙 집중식 신뢰 저장소는 이러한 애플리케이션이 SSL/TLS 연결의 신뢰성을 일관되게 검증할 수 있도록 한다.[1]

• 일반적인 의존성: 보안 채널(주로 HTTPS)을 통해 원격 서버와 통신해야 하는 거의 모든 애플리케이션은 직간접적으로 시스템의 CA 인증서 저장소에 의존한다.
• 구체적인 예시:
  • 명령줄 HTTP 클라이언트: curl 및 wget은 HTTPS URL에서 콘텐츠를 다운로드하거나 상호 작용할 때 서버 인증서를 검증하기 위해 시스템의 CA 저장소를 사용한다.[8]
  • 패키지 관리자: apt는 HTTPS를 통해 보안 저장소에 연결하여 패키지 목록을 다운로드하고 패키지 파일을 가져올 때 서버 인증서를 확인해야 한다.[2]
  • 컨테이너화: Docker 데몬은 Docker Hub 또는 기타 레지스트리에서 이미지를 가져올 때 보안 연결을 사용하며, 컨테이너 내부의 애플리케이션도 외부 서비스(API, 데이터베이스 등)와 통신하기 위해 시스템(또는 컨테이너 내부)의 CA 인증서가 필요하다. 특히 기업 프록시 환경에서는 사용자 지정 CA를 컨테이너에 추가해야 할 수 있다.[10]
  • 웹 서버: Apache (mod_ssl) 또는 Nginx와 같은 웹 서버는 클라이언트에게 서비스를 제공할 뿐만 아니라, 백엔드 서비스에 대한 아웃바운드 연결을 설정하거나(예: 리버스 프록시 시나리오), 클라이언트 인증서 기반 인증을 수행할 때 시스템의 CA 저장소를 사용할 수 있다.[15]
  • 프로그래밍 언어 런타임 및 라이브러리:
    • Java 애플리케이션은 종종 시스템 CA 저장소와 동기화되는 자체 키 저장소(cacerts)를 사용한다 (ca-certificates-java 패키지가 이 동기화를 돕는다).[12]
    • Python의 requests 라이브러리나 내장 ssl 모듈과 같은 네트워킹 라이브러리는 기본적으로 시스템 CA 저장소를 활용한다.[22]
    • OpenSSL, GnuTLS 등 C/C++ 라이브러리에 링크된 애플리케이션은 일반적으로 시스템 저장소를 사용하도록 구성된다.
    • .NET 애플리케이션도 시스템의 인증서 업데이트 메커니즘과 상호 작용할 수 있다 (참고: [29]).
  • 시스템 도구: gnupg2 (키 서버 통신용), lsb-release (업데이트 확인용), cloud-init (클라우드 환경 설정용) 등 다양한 시스템 유틸리티가 보안 통신을 위해 CA 인증서를 필요로 할 수 있다.[8]
  • 데이터베이스 및 미들웨어: Redis (빌드 시 의존성으로 포함될 수 있음 [32]), RabbitMQ (설치 및 관리 도구가 보안 연결을 사용할 수 있음 [31]) 등 다양한 서버 소프트웨어도 직간접적으로 CA 인증서에 의존할 수 있다.
• 상호 작용 메커니즘: 대부분의 애플리케이션은 직접 CA 인증서를 관리하지 않는다. 대신 OpenSSL, GnuTLS, NSS(Network Security Services)와 같은 저수준 암호화 라이브러리를 사용한다. 이러한 라이브러리는 종종 시스템의 표준 위치(예: /etc/ssl/certs/ 디렉토리 또는 /etc/ssl/certs/ca-certificates.crt 번들 파일)에서 신뢰할 수 있는 CA 인증서를 로드하도록 구성된다.[4] update-ca-certificates 명령은 이러한 표준 위치를 최신 상태로 유지하는 역할을 한다.
• 예외: 독립적인 신뢰 저장소: 중요한 예외 사항은 일부 주요 애플리케이션, 특히 웹 브라우저(Firefox, Google Chrome, Chromium 등)가 역사적으로 자체 내장된 CA 인증서 목록 또는 별도의 사용자 프로필 기반 신뢰 저장소를 기본적으로 사용한다는 것이다.[8] 이는 시스템 전체의 신뢰 설정(예: /usr/local/share/ca-certificates/에 추가된 사용자 지정 CA)이 이러한 브라우저에 자동으로 적용되지 않음을 의미한다.
  • p11-kit을 통한 통합: 이 문제를 해결하고 브라우저가 시스템 전체의 신뢰 저장소를 사용하도록 강제하는 방법이 있다. p11-kit 패키지는 PKCS#11 인터페이스를 통해 다양한 암호화 토큰 및 저장소에 대한 액세스를 통합하는 프레임워크를 제공한다. p11-kit-trust.so 모듈은 시스템의 통합된 신뢰 저장소( /etc/ssl/certs/ 및 /usr/local/share/ca-certificates/ 등을 포함)에 대한 PKCS#11 인터페이스를 제공한다.[24] 브라우저가 사용하는 NSS 라이브러리의 기본 CA 목록 라이브러리(libnssckbi.so)를 p11-kit-trust.so로 교체하거나 심볼릭 링크하거나 [33], 또는 브라우저의 정책 파일(예: Firefox의 policies.json)을 사용하여 p11-kit-trust.so를 보안 장치로 로드하도록 구성함으로써 [16], 브라우저가 시스템의 신뢰 설정을 따르도록 만들 수 있다. 이는 기업 환경 등에서 사용자 지정 내부 CA를 일관되게 신뢰하도록 하는 데 매우 유용하다.

 

결론적으로, ca-certificates 패키지는 Ubuntu 소프트웨어 생태계의 광범위한 부분에 걸쳐 보안 통신을 가능하게 하는 핵심 의존성이다. 그러나 관리자는 일부 애플리케이션(특히 웹 브라우저)이 기본적으로 시스템 저장소를 우회할 수 있다는 점을 인지하고, 필요한 경우 p11-kit과 같은 메커니즘을 사용하여 통합된 신뢰 관리를 구현해야 한다.

 

표 3: ca-certificates에 의존하는 소프트웨어 예시

소프트웨어/구성 요소 카테고리	구체적인 예시	참고 사항
명령줄 도구 (CLI)	curl, wget	HTTPS URL 접근 시 서버 인증서 검증
패키지 관리	apt	보안 저장소 연결 및 패키지 다운로드 시
컨테이너화	Docker (데몬, 컨테이너)	이미지 가져오기, 컨테이너 내/외부 통신 시
웹 서버	Apache (mod_ssl), Nginx	아웃바운드 연결 (예: 리버스 프록시), 클라이언트 인증서 검증 시
런타임/라이브러리	Java (JVM), Python (requests, ssl),.NET	SSL/TLS 라이브러리를 통한 보안 연결 시 (Java는 ca-certificates-java와 연동 가능)
시스템 도구	gnupg2, cloud-init, lsb-release	키 서버 통신, 클라우드 설정, 업데이트 확인 등 보안 통신이 필요한 경우
브라우저*	Firefox, Chrome, Chromium	*기본적으로 자체 신뢰 저장소 사용. p11-kit을 통해 시스템 저장소와 통합 가능.
기타	Redis, RabbitMQ, OpenSSL/GnuTLS 기반 애플리케이션	빌드 의존성, 관리 도구 통신, 또는 라이브러리 사용을 통해 직간접적으로 의존.

 

마치며

ca-certificates 패키지는 Ubuntu 24.04 LTS 시스템에서 보안 네트워크 통신의 핵심적인 역할을 수행한다. 이 패키지는 신뢰할 수 있는 인증 기관(CA)의 루트 인증서 모음을 제공하고 관리함으로써, 시스템과 애플리케이션이 SSL/TLS 연결을 통해 통신하는 상대방의 신원을 확인하고 데이터의 기밀성과 무결성을 보장할 수 있도록 지원한다. Ubuntu 24.04 LTS의 공식 저장소에서 20240203 버전으로 제공되며, apt, curl, wget, Docker 등 수많은 필수 시스템 구성 요소 및 애플리케이션의 기반이 된다.

 

시스템 관리자는 update-ca-certificates 명령과 표준 디렉토리 구조(/usr/share/ca-certificates/, /usr/local/share/ca-certificates/) 및 구성 파일(/etc/ca-certificates.conf)을 사용하여 시스템의 신뢰 저장소를 효과적으로 관리할 수 있다. 특히, /usr/local/share/ca-certificates/ 디렉토리에 .crt 확장자를 가진 PEM 형식의 사용자 지정 CA 인증서를 추가하고 sudo update-ca-certificates를 실행하는 것은 내부 또는 비공개 CA를 시스템 전체에서 신뢰하도록 하는 표준적인 방법이다. 설치된 인증서를 확인하고 연결 문제를 진단하기 위해 openssl 유틸리티 제품군과 trust 명령어(p11-kit)를 포함한 다양한 도구를 사용할 수 있다.

 

Ubuntu 24.04 LTS에서 ca-certificates 패키지 자체의 핵심 기능은 이전 버전과 일관되게 유지되지만, 관리자는 시스템 전반의 보안 강화 추세(예: APT 저장소 서명 요구 사항 강화)를 인지하고, 특정 환경에서 보고된 잠재적인 성능 관련 문제(예: update-ca-certificates의 메모리 사용량)에 대해 주의를 기울여야 한다.

 

결론적으로, ca-certificates 패키지와 시스템 신뢰 저장소에 대한 올바른 이해와 관리는 Ubuntu 24.04 LTS 시스템에서 안전하고 신뢰할 수 있는 네트워크 통신 환경을 유지하는 데 필수적이다. 관리자는 표준 절차를 따르고, 필요한 경우 시스템의 신뢰 설정을 검증하며, 특정 애플리케이션(특히 웹 브라우저)의 예외적인 동작을 고려하여 일관된 보안 정책을 적용해야 한다.

 

참고 문헌

[1] bbs.archlinux.org, https://bbs.archlinux.org/viewtopic.php?id=91918#:~:text=ca%2Dcertificates%3A,those%20shipped%20with%20Mozilla's%20browsers.
[2] What is the use/purpose of the ca-certificates package? - Ask Ubuntu, https://askubuntu.com/questions/857476/what-is-the-use-purpose-of-the-ca-certificates-package
[3] What is CA certificate, and why do we need it? - Stack Overflow, https://stackoverflow.com/questions/40061263/what-is-ca-certificate-and-why-do-we-need-it
[4] 4 Managing System Certificates - Oracle Linux, https://docs.oracle.com/en/operating-systems/oracle-linux/certmanage/managing_system_certificates.html
[5] Noble (24.04) : ca-certificates package : Ubuntu - Launchpad, https://launchpad.net/ubuntu/noble/+source/ca-certificates
[6] USN-7034-1: ca-certificates update | Ubuntu security notices, https://ubuntu.com/security/notices/USN-7034-1
[7] ca-certificates : Noble (24.04) : Ubuntu - Launchpad Answers, https://answers.launchpad.net/ubuntu/noble/+package/ca-certificates
[8] Making CA certificates available to Linux command-line tools - Red Hat, https://www.redhat.com/en/blog/ca-certificates-cli
[9] How do I know I need to install or update the `ca-certificates` package? - Server Fault, https://serverfault.com/questions/1171781/how-do-i-know-i-need-to-install-or-update-the-ca-certificates-package
[10] Install Docker Engine on Ubuntu, https://docs.docker.com/engine/install/ubuntu/
[11] How to Add, Remove, and Update CA Certificates in Linux - Baeldung, https://www.baeldung.com/linux/ca-certificate-management
[12] CA Certificates: What are they? Why install package? / Newbie Corner / Arch Linux Forums, https://bbs.archlinux.org/viewtopic.php?id=91918
[13] How to install certificates for command line - Ask Ubuntu, https://askubuntu.com/questions/645818/how-to-install-certificates-for-command-line
[14] CA certificates - Docker Docs, https://docs.docker.com/engine/network/ca-certs/
[15] How to install CA certificates in Ubuntu server - TechRepublic, https://www.techrepublic.com/article/how-to-install-ca-certificates-in-ubuntu-server/
[16] How do you add a certificate authority (CA) to Ubuntu? - Super User, https://superuser.com/questions/437330/how-do-you-add-a-certificate-authority-ca-to-ubuntu
[17] How to configure your CA trust list in Linux - Red Hat, https://www.redhat.com/en/blog/configure-ca-trust-list
[18] Configuration of system CA certificates - DebOps, https://docs.debops.org/en/master/ansible/roles/pki/system-ca-certificates.html
[19] How do I install a root certificate? - Ask Ubuntu, https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate
[20] update /etc/ssl/certs and ca-certificates.crt - Ubuntu Manpage, https://manpages.ubuntu.com/manpages/focal/man8/update-ca-certificates.8.html
[21] List all available ssl ca certificates - Unix & Linux Stack Exchange, https://unix.stackexchange.com/questions/97244/list-all-available-ssl-ca-certificates
[22] List and remove unofficially installed CA certificates - Ask Ubuntu, https://askubuntu.com/questions/1129300/list-and-remove-unofficially-installed-ca-certificates
[23] How can I get the list of the currently installed certificate authority on my ubuntu?, https://superuser.com/questions/935797/how-can-i-get-the-list-of-the-currently-installed-certificate-authority-on-my-ub
[24] p11-kit - Tool for operating on configured PKCS#11 modules - Ubuntu Manpage, https://manpages.ubuntu.com/manpages/noble/en/man8/p11-kit.8.html
[25] Tool for operating on the trust policy store - Ubuntu Manpage, https://manpages.ubuntu.com/manpages/bionic/man1/trust.1.html
[26] How to view certificate chain using openssl - Server Fault, https://serverfault.com/questions/1011294/how-to-view-certificate-chain-using-openssl
[27] Utility to verify certificates. - Ubuntu Manpage, https://manpages.ubuntu.com/manpages/trusty/man1/verify.1ssl.html
[28] Ubuntu 24.04 LTS (Noble Numbat) Release Notes, https://discourse.ubuntu.com/t/ubuntu-24-04-lts-noble-numbat-release-notes/39890
[29] Ubuntu 24.04 Noble Numbat Memory Issue #5493 - GitHub, https://github.com/dotnet/dotnet-docker/discussions/5493
[30] New requirements for APT repository signing in 24.04 - Foundations - Ubuntu Discourse, https://discourse.ubuntu.com/t/new-requirements-for-apt-repository-signing-in-24-04/42854
[31] How to Install RabbitMQ on Ubuntu 24.04 - Vultr Docs, https://docs.vultr.com/how-to-install-rabbitmq-on-ubuntu-24-04
[32] Build and run Redis Community Edition 8 on Ubuntu 24.04 (Noble) | Docs, https://redis.io/docs/latest/operate/oss_and_stack/install/build-stack/ubuntu-noble/
[33] Add certificate authorities system-wide on Firefox - Ask Ubuntu, https://askubuntu.com/questions/244582/add-certificate-authorities-system-wide-on-firefox