TLS 인증서 유효기간 공식적으로 47일로 단축

 (digicert.com)
14P by GN⁺ 3일전 | ★ favorite | 댓글 1개
  • TLS 인증서 유효기간 단축: CA/Browser Forum은 TLS 인증서의 유효기간을 줄이기로 결정했음. 2029년까지 인증서 유효기간이 47일로 단축될 예정임
  • 자동화의 중요성: 인증서 유효기간 단축으로 인해 자동화가 필수적임. Apple은 자동화가 인증서 수명 주기 관리에 필수적이라고 주장함
  • 인증서 정보의 신뢰성 문제: 인증서 정보의 신뢰성이 시간이 지남에 따라 감소하고 있어, 자주 재검증이 필요함
  • 인증서 폐기 시스템의 문제점: CRL과 OCSP를 사용하는 인증서 폐기 시스템이 신뢰할 수 없으며, 짧은 유효기간이 이를 완화할 수 있음
  • 비용 및 자동화 솔루션: 인증서 교체 비용은 연간 구독에 기반하며, 자동화를 통해 더 빠른 교체 주기를 자발적으로 선택하는 경우가 많음

TLS 인증서 유효기간 단축

  • CA/Browser Forum은 TLS 인증서의 유효기간을 줄이기로 공식적으로 결정했음
  • 2026년 3월부터 인증서 유효기간은 200일로, 2027년에는 100일로, 2029년에는 47일로 줄어들 예정임
  • 도메인 및 IP 주소 검증 정보의 재사용 기간도 2029년까지 10일로 줄어들 예정임

47일의 의미

  • 47일은 1개월(31일)과 30일의 절반(15일), 그리고 1일의 여유를 더한 기간임
  • Apple은 자동화가 인증서 수명 주기 관리에 필수적이라고 강조함

인증서 정보의 신뢰성 문제

  • 인증서 정보의 신뢰성이 시간이 지남에 따라 감소하고 있어, 자주 재검증이 필요함
  • 인증서 폐기 시스템이 신뢰할 수 없으며, 짧은 유효기간이 이를 완화할 수 있음

자동화의 필요성

  • 인증서 유효기간 단축으로 인해 자동화가 필수적임
  • DigiCert는 Trust Lifecycle Manager와 CertCentral을 통해 다양한 자동화 솔루션을 제공함

추가 정보 및 블로그 구독

  • 인증서 관리, 자동화, TLS/SSL에 대한 최신 정보를 DigiCert 블로그에서 확인할 수 있음
  • 자동화 솔루션에 대한 자세한 정보는 DigiCert에 문의 가능함
GN⁺ 3일전  [-]
Hacker News 의견

  • "여기서 최종 목표가 무엇인지 궁금함. 반대 의견에 동의함. 왜 30초로 하지 않는지 의문임"

    • "TLS 사용이 더 이상 가능하지 않을 정도로 모든 것을 자동화해야 하는 임계점을 넘으면, 왜 48시간 이상의 기간을 제공해야 하는지 의문임"
    • "이것은 실용적인 것보다 이념적인 임무처럼 느껴짐. 모든 인프라를 매달 변경하도록 강요하는 금전적/권력적 이점이 있는지 모르겠음"

  • "대기업들과 일하면서, 만료 시간이 점점 짧아지면서 대부분 내부적으로 서명된 인증서를 사용하고 있는 것을 봄"

    • "공용 인증서는 엣지 장치/로드 밸런서에 사용하지만, 내부 서비스는 긴 만료 시간을 가진 내부 CA 서명 인증서를 사용함"
    • "인증서 사용이 번거로운 많은 앱들 때문임"

  • "다른 스레드에서 말했듯이, 이는 자체 서브도메인에 대한 자체 CA를 만들 가능성을 없앨 것임"

    • "브라우저에 내장된 큰 CA만이 원하는 기간으로 자체 CA 인증서를 가질 수 있을 것임"
    • "보안 측면에서 이는 양날의 검임"
    • "모두가 인증서가 계속 바뀌는 것에 익숙해지고, 인증서 고정이 없어지면, 중국이나 회사가 가짜 인증서를 제공할 때 알아차리기 어려울 것임"
    • "폐쇄된 시스템 대신, 전 세계의 모든 기계가 시스템 업데이트를 위해 무작위 인증서 서버에 거의 영구적으로 연결해야 할 것임"
    • "Digicert나 Letsencrypt 서버, 또는 '인증서 업데이트 클라이언트'가 해킹되거나 보안 문제가 발생하면, 전 세계 대부분의 서버가 매우 짧은 시간 안에 손상될 수 있음"

  • "기사의 다음 설명에 웃음이 나옴"

    • "47일은 임의의 숫자처럼 보일 수 있지만, 간단한 연쇄임"
    • "47일 = 최대 한 달(31일) + 1/2 30일(15일) + 1일 여유"
    • "그래서 47은 임의가 아니지만, 1개월, 1/2개월, 1일은 임의가 아님"

  • "인증 기관으로서 고객들이 가장 자주 묻는 질문 중 하나는 인증서를 더 자주 교체하는 데 추가 비용이 드는지 여부임"

    • "답은 아님. 비용은 연간 구독을 기반으로 함"
    • "Digicert, 잠시 멈춰라. 가격은 연간 구독을 기반으로 함. CA 비용은 실제로 미세하게 증가하지만, 이미 거의 0에 가까움"
    • "CA 운영은 세계에서 가장 쉬운 사업 중 하나임"

  • "우리는 SSL 인증서의 만료가 14일 이하로 남았을 때 비중요 '월요일까지 기다릴 수 있음' 경고를, 만료까지 48시간 남았을 때는 '방해 금지' 경고를 보내도록 모니터링을 설정함"

    • "몇 년 전 cert-manager가 이상한 상태에 빠졌기 때문에, 다음 번에는 미리 알아내고 싶음"

  • "암호화와 신원이 인증서에서 너무 밀접하게 연결되지 않았으면 좋겠음"

    • "인증서를 발급할 때 항상 암호화에 신경 쓰지만, 때때로 신원에는 신경 쓰지 않음"
    • "암호화에만 신경 쓸 때, 신원에 신경 쓰는 추가 부담을 감수해야 함"

  • "이것이 시행되면 모든 Chromecast가 다시 작동을 멈출 것인지 궁금함"

    • "올해 초 Chromecast 중단 동안 Google의 반응을 보면, Chromecast는 최소 인력으로 운영되며 인증서 갱신을 자동화할 자원이 없을 것임"

  • "자동화와 단기 인증서로 인증 기관이 OpenID Provider와 유사해짐"

    • "보안의 중요한 부분은 인증 기관이 도메인 소유권을 검증하는 방식에 집중됨"
    • "클라이언트가 인증서를 의존하지 않고 직접 검증을 수행할 수 있을지도 모름"
    • "예를 들어, 서버에 연결할 때 클라이언트가 두 개의 고유 값을 보내고, 서버는 DNS 레코드를 생성해야 함"
    • "DNS를 통한 인증임. DNS 시스템을 가속화해야 할 것임"

  • "이것은 두 가지 흥미로운 곳에서 인증서 고정에 의존하는 것을 무너뜨릴 것임"

    • "모바일 앱"
    • "기업 API. 많은 회사들이 인증서를 고정하고, 우리가 인증서를 회전할 때 불평함"
    • "47일의 기간은 그들이 자동으로 고정을 회전하도록 강요할 것임"

  • "여기서의 가정은 개인 키가 인증서를 발급하는 데 사용하는 비밀/메커니즘보다 더 쉽게 손상될 수 있다는 것임"

    • "그 부분은 확신할 수 없음"
답변달기