# Let’s Encrypt 인증서 유효기간 90일 → 45일 축소 발표 (2028년까지 단계적 적용)

> Clean Markdown view of GeekNews topic #24806. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=24806](https://news.hada.io/topic?id=24806)
- GeekNews Markdown: [https://news.hada.io/topic/24806.md](https://news.hada.io/topic/24806.md)
- Type: news
- Author: [davespark](https://news.hada.io/@davespark)
- Published: 2025-12-03T22:09:18+09:00
- Updated: 2025-12-03T22:09:18+09:00
- Original source: [letsencrypt.org](https://letsencrypt.org/2025/12/02/from-90-to-45)
- Points: 17
- Comments: 3

## Summary

인증서 자동 갱신이 당연한 시대지만, **Let’s Encrypt**는 한 걸음 더 나아가 유효기간 자체를 절반으로 줄이려 합니다. 2028년까지 단계적으로 90일에서 45일로 단축되며, 도메인 검증 재사용 기간도 7시간으로 제한됩니다. 이는 보안 강화를 위한 국제 기준 변화에 따른 조치로, 개발자는 이제 갱신 자동화와 모니터링 체계를 기본 전제로 삼아야 합니다. DNS-PERSIST-01 같은 새 표준이 이 과정을 얼마나 매끄럽게 만들어줄지가 다음 과제가 되겠죠.

## Topic Body

**변경 이유**  
  
* CA/Browser Forum 기준 요구사항 (전 세계 모든 공인 CA 동일 적용)  
* 인터넷 보안 강화 (유효기간 짧아져 해킹 시 피해 범위 제한 + 폐지 효율성 ↑)  
  
**인증서 유효기간 변화**  
  
* 현재: 90일  
* 2028년 이후: 45일  
  
**도메인 소유권 검증 재사용 기간 변화**  
  
* 현재: 30일  
* 2028년 이후: 7시간  
  
**단계별 적용 일정** (신규 발급 인증서부터 적용)  
  
* 2026년 5월 13일: opt-in 프로필(tlsserver) → 45일 인증서 발급 시작 (테스트 가능  
* 2027년 2월 10일: 기본 프로필(classic) → 64일 인증서 + 검증 재사용 10일  
* 2028년 2월 16일: 기본 프로필(classic) → 45일 인증서 + 검증 재사용 7시간  
  
**사용자가 해야 할 일**  
  
* 대부분 자동 갱신 사용자: 별도 조치 불필요  
* 단, 자동 갱신 주기가 45일 인증서와 호환되는지 확인 필수  
* 추천 조치  
  * ACME Renewal Information (ARI) 기능 활성화 (정확한 갱신 시점 안내)  
  * ARI 미지원 클라이언트: 인증서 수명 2/3 지점쯤 갱신하도록 설정  
  * 수동 갱신 비추천 (너무 자주 해야 함)  
  * 인증서 만료 모니터링 시스템 반드시 구축  
  
**새로운 자동화 편의 기능 (2026년 도입 예정)**  
  
* DNS-PERSIST-01 챌린지 신규 표준화 추진  
* 특징: DNS TXT 레코드 한 번만 설정하면 갱신 때마다 변경할 필요 없음  
* → DNS 자동 업데이트 권한 없이도 완전 자동 갱신 가능  
  
**공식 발표 링크** https://letsencrypt.org/2025/12/02/from-90-to-45  
  
결론: 2028년까지 모든 Let’s Encrypt 사용자는 45일 주기 자동 갱신 + ARI + 모니터링이 필수 환경이 됩니다.

## Comments



### Comment 47230

- Author: popopo
- Created: 2025-12-05T07:24:18+09:00
- Points: 1

홈랩에 인증서 적용해 쓰고 있어서 TLS2030 에 관심을 갖고 준비 중이었는데요.  
  
Proxmox 나 Nginx Proxy Manager 에서 Let's Encrypt 인증서 자동 발급이 되기 때문에, 개별 도메인들은 특별히 문제가 안됩니다.  
  
와일드카드 인증서는 한 번 발급 받아 여러 시스템에서 써야 하기 때문 에 Hashicorp Vault 같은 시스템이 필수입니다. 다른 방법이 있을까요?  
  
https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate  
  
이런 아키텍쳐로 구성 했는데, FreeIPA 는 없어도 됩니다. Vault가 Intermediate CA가 아닌 ROOT CA가 되고, ROOT CA 를 각 시스템에 신뢰 CA로 등록하면 됩니다.   
  
FreeIPA 도 FreeIPA 클라이언트를 깔면서 신뢰 CA로 등록하는거라서, FreeIPA를 쓰느냐, Ansible 등으로 신뢰 CA로 등록하느냐의 문제입니다.  
  
  
FreeIPA 를 쓰면 내부 DNS 로 활용 가능하다는 점에서는 장점입니다만, 설치부터 운영, 장애 처리 난이도가 높은 편이라고 생각하기 때문에 Vault 만 쓰는게 낫다고 봅니다.

### Comment 47169

- Author: byun1114
- Created: 2025-12-04T07:56:26+09:00
- Points: 1

와일드카드 인증서를 발급받아 사용하는데 어떻게 바뀔지 모르겠네요.

### Comment 47165

- Author: techiemann
- Created: 2025-12-04T06:03:47+09:00
- Points: 2

개인 사용자들을 살...