렛츠인크립트, 인증서 유효기간 90일에서 45일로 단축...2028년까지 단계적 시행

업계 표준 따라 보안 강화 목적, 자동 갱신 시스템 점검 필요

[한국정보기술신문] 무료 SSL/TLS 인증서 발급 기관인 렛츠인크립트가 현재 90일인 인증서 유효 기간을 45일로 절반 단축한다고 2일 발표했다. 이번 변경은 2028년까지 단계적으로 진행되며, 인터넷 보안 강화를 위한 업계 전반의 움직임에 따른 것이다.

렛츠인크립트는 CA/브라우저 포럼 기본 요구사항에 따라 모든 공인 인증기관과 함께 이번 변경을 시행한다고 밝혔다. 인증서 유효 기간 단축은 보안 침해 범위를 제한하고 인증서 폐기 기술의 효율성을 높여 인터넷 보안을 개선하는 데 목적이 있다.

3단계 단계적 적용 일정

렛츠인크립트는 서비스 중단을 최소화하기 위해 ACME 프로파일을 통해 단계적으로 변경사항을 적용한다. 2026년 5월 13일 선택 가능한 tlsserver 프로파일에서 45일 인증서 발급을 시작한다. 이는 얼리어답터와 테스트 용도로 활용될 예정이다.

2027년 2월 10일에는 기본 클래식 프로파일에서 64일 인증서 발급으로 전환하며, 인증 재사용 기간은 10일로 줄어든다. 최종적으로 2028년 2월 16일 클래식 프로파일이 45일 인증서와 7시간 인증 재사용 기간으로 업데이트된다. 각 단계는 프로덕션 환경 적용 약 한 달 전에 스테이징 환경에서 먼저 배포된다.

자동화 시스템 점검 필수

렛츠인크립트는 대부분의 자동 인증서 발급 사용자는 별도 변경이 필요 없지만, 짧아진 유효 기간과 호환되는지 자동화 시스템을 확인해야 한다고 강조했다. 특히 60일 간격으로 갱신하는 하드코딩된 설정은 더 이상 작동하지 않으며, 인증서 수명의 3분의 2 시점에 갱신하는 방식을 권장한다.

적시 갱신을 위해 ACME 갱신 정보 기능 사용을 추천하며, 이 기능은 클라이언트에 인증서 갱신 시기를 알려준다. 수동 갱신은 짧아진 유효 기간으로 인해 더욱 빈번해지므로 권장하지 않는다. 또한 예상대로 인증서가 갱신되지 않을 경우 알림을 받을 수 있도록 충분한 모니터링 시스템을 갖출 것을 당부했다.

새로운 DNS 검증 방식 도입

렛츠인크립트는 자동화를 더욱 쉽게 만들기 위해 새로운 DNS-PERSIST-01 검증 방법 표준화 작업을 진행 중이다. 현재 모든 검증 방법은 ACME 클라이언트가 인프라에 실시간 접근해야 하지만, 새 방식은 도메인 제어를 입증하는 DNS TXT 항목을 매번 변경할 필요가 없다.

이를 통해 DNS 항목을 한 번만 설정하고 DNS를 자동으로 업데이트하는 방법 없이도 인증서 자동 갱신이 가능해진다. DNS-PERSIST-01은 2026년 제공될 것으로 예상되며, 추가 소식은 곧 공개될 예정이다.

렛츠인크립트는 기술 업데이트 메일링 리스트를 통해 추가 업데이트와 알림, 변경 사항을 공유할 계획이며, 궁금한 사항은 커뮤니티 포럼을 통해 문의할 수 있다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org