쿠키 기반의 TLS/SSL 인증서 공개키의 확인

Cookie-Based Identification of the Public Keys of TLS/SSL Certificates

  • 투고 : 2015.10.16
  • 심사 : 2016.01.15
  • 발행 : 2016.01.31


HTTP 쿠키(cookie)를 활용하여, 웹 사이트의 인증서 검증이 실패하였을 때 해당 사이트의 공개키를 확인하는 방법을 제시한다. 제안 방식은 속임수에 의해 가짜 사이트로 접속하도록 유도하는 피슁(phishing) 공격에 대해 효과적인 방어 수단이 된다. 제안 방식은 간단한 사용자 인증정보의 입력 처리와 쿠키의 암호화 및 검증 과정의 구현을 요구하나, 정상 동작 상황에서 브라우저 및 웹 사이트 운용 서버 어느 쪽에도 성능상의 추가 부담을 거의 지우지 않는다.

We propose a HTTP cookie-based identification of the public keys of Web sites for the case of failure to validate certificates. The proposed scheme effectively protects users from the phishing attacks of inducing them to access bogus sites. It incurs little performance overhead on the browser and the server of Web sites. It requires to implement the input processing of user credentials and the encryption and verification of cookie values, though.



  1. D. Akhawe and A. Felt, "Alice in warningland: a large scale field study of browser security warning effectiveness," in Proc. USENIX Security, pp. 257-272, 2013.
  2. C. Meyer and J. Schwenk, "SoK: lessons learned from SSL/TLS attacks," in Proc. WISA, pp. 189-209, Aug. 2014.
  3. Y. Chen and Z. Su, "Guided differential testing of certificate validation in SSL/TLS implementations," in Proc. ESEC/FSE 2015, pp. 793-804, Aug.-Sept. 2015.
  4. P. Szalachowski, S. Matsumoto, and A. Perrig, "PoliCert: secure and flexible TLS certificate management," in Proc. ACM CCS 2014, pp. 406-417, Nov. 2014.
  5. S. Kim, J. Kang, and Y. Kim, "Countermeasures against phishing/pharming via portal site for general users," J. KICS, vol. 40, no. 6, pp. 1107-1113, Jun. 2015.