HN에 알리기: Apple 개발 인증서 서버가 다운된 것 같습니다?

Source: Hacker News

Explanation

OpenSSL은 인증서에 critical 확장자가 포함되어 있어 이를 인식하지 못하기 때문에 인증서를 검증할 수 없습니다 — 구체적으로 1.2.840.113635.100.6.27.3.2라는 Apple 고유 OID가 critical로 표시되어 있습니다. X.509 규칙에 따르면, 클라이언트가 인식하지 못하는 critical 확장자를 만나면 해당 인증서를 거부해야 합니다.

그렇지만 이는 Apple 측에서 의도적으로 만든 것으로 보입니다. 브라우저와 Apple 자체 TLS 스택(SecureTransport/Network.framework)은 거의 확실히 이 확장자를 처리할 수 있습니다. 이는 사설 Apple CA(Apple Server Authentication CA)가 Apple 내부 서비스 엔드포인트에 서명한 것이므로, 일반적인 OpenSSL이 아니라 Apple 생태계 내에서 동작하도록 설계된 것입니다.

In practice

- Works fine in Apple clients (Safari, curl on macOS using the system TLS stack, iOS apps)
- Fails with raw OpenSSL or other non‑Apple TLS implementations
- Not a misconfiguration — Apple is intentionally using a proprietary critical extension on their private PKI