3P by GN⁺ | ★ favorite | 댓글 1개
  • 인터넷에서 개인·비즈니스 정보가 더 자주 오가는 상황에서, Let’s Encrypt는 무료 서버 인증서로 TLS 보급의 진입장벽을 낮추려는 인증 기관으로 등장함
  • 브라우저와 서버는 이미 TLS를 지원하지만, 운영자에게는 인증서 발급·설치·갱신이 복잡하고 비용도 드는 일이었음
  • Mozilla, Cisco, Akamai, EFF, IdenTrust, University of Michigan 연구자들은 ISRG를 통해 협력하며 2015년 2분기 인프라 제공을 추진함
  • 운영 원칙은 무료, 자동화, 보안, 투명성, 개방성, 협력이며, 발급·폐기 기록 공개와 오픈 표준 프로토콜을 포함함
  • 특정 조직이 통제하는 보안이 아니라, 커뮤니티 전체가 쓸 수 있는 보편적이고 열린 인터넷 보안을 만드는 데 초점을 둠

TLS 보급을 막던 서버 인증서 장벽

  • 개인과 비즈니스 정보가 인터넷을 통해 더 자주 오가지만, 사용자는 그런 전송이 언제 일어나는지 항상 알기 어려움
  • TLS는 SSL의 후속 기술이며, 모든 기기의 브라우저와 데이터센터 서버가 이미 지원함
  • TLS 보호 통신의 핵심은 사용자가 의도한 서버와 실제로 통신 중임을 증명하는 공개키 인증서
  • 많은 서버 운영자에게는 기본 서버 인증서조차 부담으로 남아 있었음
    • 신청 절차가 혼란스러울 수 있음
    • 보통 비용이 듦
    • 올바른 설치가 까다로움
    • 갱신이 번거로움

Let’s Encrypt가 제안한 무료·자동화 인증 기관

  • Let’s Encrypt는 협력과 개방성을 기반으로 한 새로운 무료 인증 기관
  • 도메인 소유자는 자신의 도메인에 대해 검증된 기본 서버 인증서를 원클릭 절차로 받을 수 있게 됨
  • Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, IdenTrust, University of Michigan 연구자들이 Internet Security Research Group(ISRG)을 통해 협력함
  • ISRG는 캘리포니아 공익 법인이며, 같은 목표를 가진 다른 조직의 참여도 환영함
  • 운영 원칙은 다음과 같음
    • 무료: 도메인 소유자는 해당 도메인에 대해 검증된 인증서를 무료로 받을 수 있음
    • 자동화: 인증서 등록은 서버의 기본 설치 또는 설정 과정에서 진행되고, 갱신은 백그라운드에서 자동 수행됨
    • 보안: 최신 보안 기법과 모범 사례 구현을 위한 플랫폼 역할을 함
    • 투명성: 인증서 발급과 폐기 기록을 누구나 검사할 수 있게 공개함
    • 개방성: 자동 발급·갱신 프로토콜은 오픈 표준으로 만들고, 가능한 많은 소프트웨어를 오픈소스로 제공함
    • 협력: 인터넷 프로토콜처럼 전체 커뮤니티에 이익이 되는 공동 노력으로 운영됨
  • ISRG와 파트너에 대한 정보는 About 페이지에서 확인할 수 있음

댓글과 토론

Hacker News 의견들
  • 단연코 최고의 서비스 중 하나이고, 인증서 장사를 멈추게 했으며 인터넷을 더 안전하게 만들어 줬음
    한때 HTTPS 연결은 인증서 비용이 도메인보다 훨씬 비싸서 “진지한” 프로젝트에나 쓰는 것이었음. 일단 인증서 없이 시작해 보고 잘되면 100달러쯤 내고 인증서를 사는 식이었음

    • 아직도 잘 몰라서 2013년처럼 호스팅 업체에서 매년 인증서를 직접 사거나 자동 갱신 결제하는 사람이 꽤 있음
    • 대충 설정한 프록시가 어떤 도메인을 넣어도 인증서를 요청하게 되어 있었는데, 공격자가 이를 알아내고 무작위 하위 도메인을 붙인 HTTP 요청을 계속 보냈음
      발견했을 때 “Let’s Encrypt에서 차단당하면 어쩌지”가 아니라 “내 게으른 설정 때문에 Let’s Encrypt에 불필요한 부하를 줘서 미안하다”는 생각이 먼저 들었음. Let’s Encrypt는 적어도 지난 10년 동안 웹에 일어난 최고의 일임
    • Mozilla가 많은 비판을 받지만, letsencrypt 하나만으로도 세상을 더 나은 곳으로 만들고 있음
      그 전에는 내 서비스들에 SSL을 전혀 쓰지 않았음. 비용 대비 효용이 맞지 않았기 때문임. 그 이후로는 안 쓰는 일이 없음
    • 예전에도 단일 도메인용 “진짜” 인증서를 무료로 받을 수 있는 서비스는 있었지만 절차가 복잡하고 귀찮았음
      개인 프로젝트 여러 하위 도메인을 덮는 와일드카드 인증서가 필요하면 갑자기 매우 비싸졌는데, 이 문제가 완전히 해결돼서 좋음
    • Google/ChromeFirefox도 무료이고 열린 인증 기관이 가능해지도록 만든 공이 있음
  • 우리 기준으로는 10주년을 2025년으로 보지만, 여기의 따뜻한 말들은 고맙게 생각함
    오늘은 Let’s Encrypt를 출시하겠다고 공개 발표한 지 대략 10년 되는 날이고, 내년이 Let’s Encrypt가 실제 첫 인증서를 발급한 지 10년 되는 해임: https://letsencrypt.org/2015/09/14/our-first-cert/
    2015년 12월, 그러니까 오늘 기준 약 9년 전에는 초대 없이 모두가 쓸 수 있게 되었음: https://letsencrypt.org/2015/12/03/entering-public-beta/

    • 정확히 2015년 12월에 그렇게 된 게 우연히도 내게는 완벽했음
      그때 도메인을 살 돈만 있고 SSL 비용은 없었는데 사이트에는 SSL이 필요했음. Let’s Encrypt의 무료 SSL 덕분에 프로젝트가 성공했음
  • 인증서에 돈 내던 때가 엊그제 같고, 더 나쁘게는 아예 없이 운영하던 때도 있었음
    벌써 10년이 됐다니 믿기지 않음

    • 아직도 TLS 반대 괴짜들이 있다는 게 믿기지 않음
  • Let’s Encrypt에 대해서는 생각이 좀 엇갈림
    StartSSL 같은 수상한 업체에 기대지 않고 무료 TLS 인증서를 받을 수 있게 된 건 좋음. 덕분에 어떤 웹사이트든 HTTPS로 쉽게 옮길 수 있었고, 로그인 같은 민감한 데이터가 암호화되지 않은 연결로 전송되는 일이 사실상 사라졌음
    반면, 어떤 인증 기관이든 내 관여 없이 내 도메인 인증서를 발급할 수 있는 TLS 인증서 신뢰 모델의 근본적으로 깨진 구조를 강화했다고 봄. CAA 레코드나 인증서 투명성 같은 완화책은 많지만 100% 해결책은 아님. Let’s Encrypt가 없었다면 DNSSEC+DANE처럼 도메인 소유권을 실제로 판단할 권한이 있는 주체로 인증서 발급을 제한하는 더 나은 신뢰 메커니즘을 구현할 동기가 더 컸을지도 모름
    사이트를 TLS로 옮기는 과정에서 하위 호환성이 의도적으로 부족한 것도 걱정됨. 이건 단순히 TLS를 켜고 끄는 한 번의 문제가 아니라 프로토콜과 암호 스위트가 계속 폐기되는 문제임. 은행이나 이메일처럼 안전해야 하는 대상에는 타당하지만, 레시피 같은 정적이고 중요하지 않은 정보를 보는 데까지 꼭 필요하진 않다고 봄. 통신사가 광고나 이상한 것을 삽입하는 문제는 규제로 해결하는 편이 더 낫다고 생각함

    • Let’s Encrypt가 없었다면 더 나은 신뢰 메커니즘을 구현할 동기가 생겼을 거라는 부분에는, 오히려 Let’s Encrypt가 이 문제들을 더 드러냈고 이제 권한 있는 사람들이 실제로 걱정하게 만들었다고 봄
      인증서가 계속 고통스러운 상태였다면 TLS보다 나은 무언가가 나왔을 가능성도 있지만, 그렇게 보이진 않음. 근본 문제가 여전히 어렵기 때문임
  • 가장 고마운 건 ACME 프로토콜
    Let’s Encrypt 전에는 인증서를 어떻게 갱신했는지 기억나는가? 개인 키가 ZIP 첨부파일로 이메일에 오가곤 했음. 보안 연극에 가까웠고, 내가 알기로는 여러 인증 기관에서 흔한 관행이었음. Let’s Encrypt에 감사함

    • GlobalSign 갱신을 아직도 손으로 붙잡고 처리하는 중임
      CSR 생성 과정에서 서버에서 새 키를 만들고, 서버 자체에서 실행해서 키가 서버 내부 저장소를 떠나지 않게 함. CSR은 GlobalSign으로 보내고, 대기업 절차 때문에 제3자를 거친 뒤 며칠 후 인증서를 받아 서버에 적용함
      ACME를 쓰고 키를 메모리 램디스크 등에 두고 싶지만, 유조선보다 덜 민첩한 회사에서 일하는 단점이 이런 것임
    • 인증서 서명 요청은 어디로 간 건가? 원래 목적이 개인 키를 주고받지 않기 위한 것이었음
      그 전에는 TLS 인증서 몇 개에 약간만 관여했지만, 적어도 내가 겪은 곳들은 CSR 방식을 강제했음. 다만 현실에서는 내가 알던 것보다 이런 끔찍한 관행이 더 흔했을 수도 있음
    • Let’s Encrypt를 쓰든 안 쓰든, ZIP 파일로 보내는 건 개인 키가 아니라 공개 키여야 함
    • 내 일부 구성에서는 아직도 그런 헛짓거리를 해야 함
      클라우드 환경의 로드 밸런서는 letsencrypt 같은 외부 ACME 제공자와 쉽게 통합되지 않는 경우가 많고, 내부 제공자는 도메인을 그쪽으로 옮기라고 요구해서 항상 가능하지도 않음. 심지어 모든 클라우드 제공자가 이런 기능을 갖춘 것도 아니며, 대부분 ACME를 나중에 붙인 기능처럼 다루는 듯함
      terraform, cron 작업 같은 것으로 스크립트를 엮어 어느 정도 해킹은 가능하지만 지저분해짐. 실패 모드는 인증서 갱신 실패 시 사이트가 멈추는 것이고, 인증서 수명이 매우 짧아진 덕분에 그런 일이 자주 생김. 실제로 겪어봤음
      그래서 며칠 전 와일드카드 인증서 세금을 냈음. 이걸 피하려고 머리를 싸매지 않기 위해 몇백 달러를 냈고 기분은 찝찝하지만, 내 시간으로 사실상 2시간도 안 되는 비용을 아끼자고 며칠을 쓰는 건 가치가 없음. CSR 발급, 인증서 수령, 관련 로드 밸런서로 복사까지 20분짜리 작업임
    • 그런 인증 기관들 중 지금도 모두의 신뢰 저장소에 남아 있는 곳이 얼마나 될까?
  • 데스크톱 인증서 세계에도 이런 것이 생기면 좋겠음
    Microsoft는 현재 요구사항에서 완전히 미친 모드로 들어갔고, 그들의 인증서 판매처들은 손가락 하나 까딱하지 않고 예전보다 더 많은 돈을 벌고 있음
    웃긴 건 그 모든 보안, 심사, 끝없는 검증이 아직도 이메일로 보낸 여권 사진 한 장 위에 서 있다는 점임

  • Peter Eckersley(1978–2022)는 Let’s Encrypt 창립 작업으로 사후에 Internet Hall of Fame에 헌액됐음
    Peter와 그의 많은 협업자·동료들 덕분에 인터넷은 더 나은 곳이 됐음

  • 마침 잠재 고객인 네덜란드 정부 기관에서 이메일을 받았는데, Letsencrypt를 쓰지 말아 달라고 함
    자기들이 인증서 비용을 내는 쪽을 선호한다는데, 왜 그런지는 모르겠음. 아무래도 신뢰하지 않는 듯함

  • 많은 사람이 HTTPS 인증서가 DNS 주입 같은 특정 공격 유형을 반드시 막아 주지는 않는다는 걸 잘 모름
    DNSPionage라는 공격 캠페인이 공격에 사용할 유효한 인증서를 얻은 예시는 <https://www.youtube.com/watch?v=exy5JwAU8qk>에서 볼 수 있음
    간단히 말하면 HTTPS 인증서 발급은 자동화되어 있고 DNS 보안에 의존하는데, 이는 DNSSEC로 달성되지만 대부분 구현하지 않음

    • 기술적으로는 인증 기관에 대한 공격이고, “이 사람이 정말 해당 도메인 인증서를 발급할 권한이 있는가”라는 권한 확인을 우회하는 것임
      문제는 여기서 CAA 항목도 도움이 되지 않는다는 점임. A 레코드를 속일 수 있다면 CAA 레코드도 속일 수 있기 때문임. DNSSEC가 여기에 도움이 될지는 DNS를 충분히 알지 못해 확신하지 못함
      또 다른 공격은 IP 하이재킹임. 이 경우 일반적인 ACME 방식인 HTTP 인증 같은 것은 통과할 수 있지만 CAA 레코드는 우회하지 못함. 내 A나 AAAA 레코드가 가리키는 IP 주소를 소유하더라도, 내 CAA에 letsencrypt가 승인된 발급자로 없으면 letsencrypt로 인증서를 발급받을 수 없음
  • Let’s Encrypt는 거대한 성취이고 이제 필수 인프라가 됐음
    단일 실패 지점이 되지 않도록 열린 프로토콜을 기반으로 한 것은 영리한 선택이었고, 어떤 조직 하나가 사라져도 그 아이디어가 살아남을 수 있게 해 줌
    이런 기념일이 앞으로도 많이 이어지길 바람