▲GN⁺ 2025-04-17 | parent | ★ favorite | on: TLS 인증서 유효기간 공식적으로 47일로 단축(digicert.com)Hacker News 의견 "여기서 최종 목표가 무엇인지 궁금함. 반대 의견에 동의함. 왜 30초로 하지 않는지 의문임" "TLS 사용이 더 이상 가능하지 않을 정도로 모든 것을 자동화해야 하는 임계점을 넘으면, 왜 48시간 이상의 기간을 제공해야 하는지 의문임" "이것은 실용적인 것보다 이념적인 임무처럼 느껴짐. 모든 인프라를 매달 변경하도록 강요하는 금전적/권력적 이점이 있는지 모르겠음" "대기업들과 일하면서, 만료 시간이 점점 짧아지면서 대부분 내부적으로 서명된 인증서를 사용하고 있는 것을 봄" "공용 인증서는 엣지 장치/로드 밸런서에 사용하지만, 내부 서비스는 긴 만료 시간을 가진 내부 CA 서명 인증서를 사용함" "인증서 사용이 번거로운 많은 앱들 때문임" "다른 스레드에서 말했듯이, 이는 자체 서브도메인에 대한 자체 CA를 만들 가능성을 없앨 것임" "브라우저에 내장된 큰 CA만이 원하는 기간으로 자체 CA 인증서를 가질 수 있을 것임" "보안 측면에서 이는 양날의 검임" "모두가 인증서가 계속 바뀌는 것에 익숙해지고, 인증서 고정이 없어지면, 중국이나 회사가 가짜 인증서를 제공할 때 알아차리기 어려울 것임" "폐쇄된 시스템 대신, 전 세계의 모든 기계가 시스템 업데이트를 위해 무작위 인증서 서버에 거의 영구적으로 연결해야 할 것임" "Digicert나 Letsencrypt 서버, 또는 '인증서 업데이트 클라이언트'가 해킹되거나 보안 문제가 발생하면, 전 세계 대부분의 서버가 매우 짧은 시간 안에 손상될 수 있음" "기사의 다음 설명에 웃음이 나옴" "47일은 임의의 숫자처럼 보일 수 있지만, 간단한 연쇄임" "47일 = 최대 한 달(31일) + 1/2 30일(15일) + 1일 여유" "그래서 47은 임의가 아니지만, 1개월, 1/2개월, 1일은 임의가 아님" "인증 기관으로서 고객들이 가장 자주 묻는 질문 중 하나는 인증서를 더 자주 교체하는 데 추가 비용이 드는지 여부임" "답은 아님. 비용은 연간 구독을 기반으로 함" "Digicert, 잠시 멈춰라. 가격은 연간 구독을 기반으로 함. CA 비용은 실제로 미세하게 증가하지만, 이미 거의 0에 가까움" "CA 운영은 세계에서 가장 쉬운 사업 중 하나임" "우리는 SSL 인증서의 만료가 14일 이하로 남았을 때 비중요 '월요일까지 기다릴 수 있음' 경고를, 만료까지 48시간 남았을 때는 '방해 금지' 경고를 보내도록 모니터링을 설정함" "몇 년 전 cert-manager가 이상한 상태에 빠졌기 때문에, 다음 번에는 미리 알아내고 싶음" "암호화와 신원이 인증서에서 너무 밀접하게 연결되지 않았으면 좋겠음" "인증서를 발급할 때 항상 암호화에 신경 쓰지만, 때때로 신원에는 신경 쓰지 않음" "암호화에만 신경 쓸 때, 신원에 신경 쓰는 추가 부담을 감수해야 함" "이것이 시행되면 모든 Chromecast가 다시 작동을 멈출 것인지 궁금함" "올해 초 Chromecast 중단 동안 Google의 반응을 보면, Chromecast는 최소 인력으로 운영되며 인증서 갱신을 자동화할 자원이 없을 것임" "자동화와 단기 인증서로 인증 기관이 OpenID Provider와 유사해짐" "보안의 중요한 부분은 인증 기관이 도메인 소유권을 검증하는 방식에 집중됨" "클라이언트가 인증서를 의존하지 않고 직접 검증을 수행할 수 있을지도 모름" "예를 들어, 서버에 연결할 때 클라이언트가 두 개의 고유 값을 보내고, 서버는 DNS 레코드를 생성해야 함" "DNS를 통한 인증임. DNS 시스템을 가속화해야 할 것임" "이것은 두 가지 흥미로운 곳에서 인증서 고정에 의존하는 것을 무너뜨릴 것임" "모바일 앱" "기업 API. 많은 회사들이 인증서를 고정하고, 우리가 인증서를 회전할 때 불평함" "47일의 기간은 그들이 자동으로 고정을 회전하도록 강요할 것임" "여기서의 가정은 개인 키가 인증서를 발급하는 데 사용하는 비밀/메커니즘보다 더 쉽게 손상될 수 있다는 것임" "그 부분은 확신할 수 없음"
Hacker News 의견
"여기서 최종 목표가 무엇인지 궁금함. 반대 의견에 동의함. 왜 30초로 하지 않는지 의문임"
"대기업들과 일하면서, 만료 시간이 점점 짧아지면서 대부분 내부적으로 서명된 인증서를 사용하고 있는 것을 봄"
"다른 스레드에서 말했듯이, 이는 자체 서브도메인에 대한 자체 CA를 만들 가능성을 없앨 것임"
"기사의 다음 설명에 웃음이 나옴"
"인증 기관으로서 고객들이 가장 자주 묻는 질문 중 하나는 인증서를 더 자주 교체하는 데 추가 비용이 드는지 여부임"
"우리는 SSL 인증서의 만료가 14일 이하로 남았을 때 비중요 '월요일까지 기다릴 수 있음' 경고를, 만료까지 48시간 남았을 때는 '방해 금지' 경고를 보내도록 모니터링을 설정함"
"암호화와 신원이 인증서에서 너무 밀접하게 연결되지 않았으면 좋겠음"
"이것이 시행되면 모든 Chromecast가 다시 작동을 멈출 것인지 궁금함"
"자동화와 단기 인증서로 인증 기관이 OpenID Provider와 유사해짐"
"이것은 두 가지 흥미로운 곳에서 인증서 고정에 의존하는 것을 무너뜨릴 것임"
"여기서의 가정은 개인 키가 인증서를 발급하는 데 사용하는 비밀/메커니즘보다 더 쉽게 손상될 수 있다는 것임"