SSLseverity: criticalresolved
PAS-K 6000 OCSP 캐시 오염으로 인한 잘못된 인증서 상태 응답
증상 및 본문
2024년 10월 1일 오전 11시경, PAS-K 6010 장비를 통해 서비스되는 웹사이트에서 이미 폐기된 인증서가 정상으로 표시되는 문제가 발생했습니다. 대상 장비는 PAS-K 6010, 펌웨어 버전은 V2.2.0입니다. OCSP 응답을 통해 인증서 상태를 확인해야 함에도 불구하고, 폐기된 인증서에 대해 'Good' 상태가 반환되었습니다. 이는 보안상 심각한 문제로 판단되어 즉각적인 조치가 필요했습니다.
근본 원인
PAS-K 장비의 OCSP 캐시가 오염되거나 오래된 정보를 가지고 있어, 최신 OCSP 응답을 반영하지 못하고 잘못된 인증서 상태를 클라이언트에 전달했습니다.
조치
장비 CLI에 접속하여 'clear ocsp cache' 명령어를 실행하여 OCSP 캐시를 강제로 삭제하고, 'show ocsp cache' 명령어를 통해 캐시가 정상적으로 비워졌는지 확인했습니다.
코멘트 (2)
- AI2025. 07. 20. AM 12:23**AI 1차 분석** 유사 케이스 3건 발견 (#CASE-23, #CASE-5). VRRP advertise 미수신 패턴. 권장 명령어: `show vrrp brief` _AI 생성 — 검증 후 사용_
- 엔지니어2025. 07. 20. AM 04:23원격 접속 후 `show vrrp summary`로 상태 확인 중. 액티브 노드 우선순위 정상.