Let’s Encrypt 인증서 유효기간 90일 → 45일 축소 발표 (2028년까지 단계적 적용)

변경 이유

• CA/Browser Forum 기준 요구사항 (전 세계 모든 공인 CA 동일 적용)
• 인터넷 보안 강화 (유효기간 짧아져 해킹 시 피해 범위 제한 + 폐지 효율성 ↑)

인증서 유효기간 변화

• 현재: 90일
• 2028년 이후: 45일

도메인 소유권 검증 재사용 기간 변화

• 현재: 30일
• 2028년 이후: 7시간

단계별 적용 일정 (신규 발급 인증서부터 적용)

• 2026년 5월 13일: opt-in 프로필(tlsserver) → 45일 인증서 발급 시작 (테스트 가능
• 2027년 2월 10일: 기본 프로필(classic) → 64일 인증서 + 검증 재사용 10일
• 2028년 2월 16일: 기본 프로필(classic) → 45일 인증서 + 검증 재사용 7시간

사용자가 해야 할 일

• 대부분 자동 갱신 사용자: 별도 조치 불필요
• 단, 자동 갱신 주기가 45일 인증서와 호환되는지 확인 필수
• 추천 조치
  • ACME Renewal Information (ARI) 기능 활성화 (정확한 갱신 시점 안내)
  • ARI 미지원 클라이언트: 인증서 수명 2/3 지점쯤 갱신하도록 설정
  • 수동 갱신 비추천 (너무 자주 해야 함)
  • 인증서 만료 모니터링 시스템 반드시 구축

새로운 자동화 편의 기능 (2026년 도입 예정)

• DNS-PERSIST-01 챌린지 신규 표준화 추진
• 특징: DNS TXT 레코드 한 번만 설정하면 갱신 때마다 변경할 필요 없음
• → DNS 자동 업데이트 권한 없이도 완전 자동 갱신 가능

공식 발표 링크 https://letsencrypt.org/2025/12/02/from-90-to-45

결론: 2028년까지 모든 Let’s Encrypt 사용자는 45일 주기 자동 갱신 + ARI + 모니터링이 필수 환경이 됩니다.