Let's Encrypt의 10주년

 (letsencrypt.org)
7P by GN⁺ 7시간전 | ★ favorite | 댓글 1개
  • 2015년 첫 공인 인증서 발급 이후, Let’s Encrypt는 전 세계에서 가장 많은 인증서를 발급하는 최대 규모 인증 기관(CA) 으로 성장
  • 자동화 기반 확장성을 핵심으로, 하루 1천만 개 이상 인증서를 발급하며 약 10억 개의 웹사이트 보호에 근접
  • HTTPS 암호화 비율을 전 세계적으로 30% 미만에서 80% 수준으로 끌어올려 웹 보안 향상에 기여
  • 국제화 도메인, 와일드카드, 단기 및 IP 인증서 등 기능을 지속적으로 추가하며 인프라 성능을 강화
  • 비영리 조직 ISRG의 지원 아래, 무료·자동화된 보안 인프라를 통해 인터넷 접근의 장벽을 낮추는 사명을 지속

Let’s Encrypt의 10년 발자취

  • 2015년 9월 14일 첫 공인 인증서 발급 이후, 자동화 소프트웨어를 통해 대다수 클라이언트가 신뢰할 수 있는 인증서 제공
    • 이후 수십억 개의 인증서를 발급하며 세계 최대 규모의 인증 기관으로 성장
    • ACME 프로토콜이 서버 생태계 전반에 통합되어 시스템 관리자들 사이에서 표준으로 자리
  • 2023년에는 비영리 모체인 Internet Security Research Group(ISRG) 설립 10주년을 맞음
    • Let’s Encrypt와 함께 공익 인프라 프로젝트를 지속 운영

성장과 확장

  • 2016년 3월 100만 번째 인증서, 2018년 9월에는 하루 100만 개 발급, 2020년 10억 개 누적 발급 달성
    • 2025년 말 기준 하루 1천만 개 이상 인증서 발급
    • 활성 사이트 수는 약 10억 개에 근접
  • 발급량 증가는 아키텍처의 안정성과 자동화 비전의 성공을 입증
    • 인증서 발급량은 간접 지표이며, 핵심은 HTTPS 보급률 향상
    • Firefox 통계 기준, HTTPS 연결 비율이 5년 만에 30% 미만 → 80% 이상으로 상승
    • 미국에서는 약 95% 수준 유지

기술적 진화와 인프라 개선

  • 2016년 국제화 도메인(IDN) 지원, 2018년 와일드카드 인증서, 2025년 단기 및 IP 인증서 도입
  • 2021년 데이터베이스 서버 업그레이드를 통해 대규모 데이터 처리 대응
    • 내부 네트워크를 기가비트 → 25기가비트 이더넷으로 전환
  • 2025년에는 Certificate Transparency 로그 구조 개선 실험 및 배포 결정
    • 지속적 성장에 대응하기 위한 아키텍처 업그레이드 추진

신뢰 체계와 표준화 활동

  • IdenTrust의 교차 서명으로 초기 공인 인증서 발급 가능
    • 이후 자체 루트 CA 인증서 구축 및 배포
  • CA/B Forum, IETF, 브라우저 루트 프로그램 등과 협력해 웹 PKI 발전에 기여
  • 인증서 체인 관리, 키 세리머니, 문서화 등 PKI 엔지니어링 수행

자동화 철학과 사회적 가치

  • 목표는 웹 PKI의 완전한 자동화, 사이트 운영자가 인증서를 의식하지 않아도 되는 환경 구축
    • 자동화가 성공할수록 서비스가 ‘당연한 존재’로 인식될 위험 존재
    • 지속적인 인식 제고와 후원 확보의 중요성 강조
  • 커뮤니티는 매일 수천만 개의 인증서 사용과 후원 참여로 프로젝트를 지원
  • Levchin Prize(2022) , O’Reilly Open Source Award(2019) , IEEE Cybersecurity Award(2025) 등 수상
  • 2019년 ACM CCS 학회 논문을 통해 프로젝트의 역사와 설계를 학술적으로 기록

파트너십과 미래 비전

  • 초기 후원사 Mozilla, EFF, Cisco, Akamai, IdenTrust의 지원으로 출범
    • 특히 IdenTrust는 교차 서명 제공으로 공인 인증서 서비스 실현에 핵심 역할
  • 향후 10년간 금전적·기술적·정보적 장벽을 낮춰 더 안전하고 프라이버시 친화적인 인터넷 구축 목표
  • Let’s Encrypt는 비영리 ISRG의 프로젝트로, 기부 및 스폰서십을 통해 지속 운영
GN⁺ 7시간전  [-]
Hacker News 의견

  • Let's Encrypt 덕분에 이제 TLS 없는 웹사이트는 상상하기 어려움
    예전 회사 CEO가 “공짜 인증서는 고객에게 싸보인다”고 해서 사용을 거부했는데, 그건 정말 말도 안 되는 생각이었음
    세계 최대의 인증기관이었고, 고객이 인증서 발급 기관을 신경 쓴 적도 없었음
    혹시 다른 사람들은 Let's Encrypt 사용에 대해 부정적인 피드백을 받은 적이 있는지 궁금함

    • 일부 호스팅 업체들이 외부 인증서 사용을 막고 자체 유료 인증서만 팔도록 제한함
      SSH나 컨테이너 접근을 막아 무료 인증서 설치를 불가능하게 만들고, 자체 인증서 가격을 터무니없이 높임
      기술을 모르는 정치권이 이걸 이해했다면 가격 담합 스캔들이 됐을 것임
    • 2022년 CEO 입장에서는 EV 인증서가 사라진 지 얼마 안 됐으니 이해는 감
      Chrome 77과 Firefox 70(2019년)에 EV 시각화가 사라졌고, 이후 변화에 적응 못한 사람도 있었음
      관련 글: Extended Validation Certificates Are Really, Really Dead
    • 예전에 Porsche 웹사이트의 만료된 인증서를 알려줬더니, 몇 시간 만에 Let's Encrypt로 교체했음
      그때 정말 놀랐고, Let's Encrypt는 인터넷의 SSD 같은 존재라고 생각함 — 한 단계 업그레이드된 느낌임
    • 한때 EV 인증서가 DV보다 더 신뢰받던 시절이 있었음
      브라우저가 EV 인증서에 특별 표시를 해줬지만, 이제는 그런 시대가 끝났음
      갱신 과정이 번거로웠기 때문에 일상적으로는 좋아졌지만, 뭔가 잃은 감정도 있음
    • 15년 전쯤에는 EV 인증서가 영업 과정에서 의미가 있었지만, 그 이후로는 아무도 신경 쓰지 않음

  • Let's Encrypt 이전의 TLS는 정말 끔찍했음
    호스트마다 돈을 내고, 수동으로 도메인 검증하고, 1년마다 갱신을 관리해야 했음
    지금은 ACME 클라이언트 한 번 설치하면 끝이고, HTTPS 비율이 몇 년 만에 30%에서 80~95%로 상승했음
    진짜 혁신은 자동화(ACME) 와 비영리 구조 덕분에 가능했음
    앞으로는 인증서 수명이 45일로 줄어들 예정이라, 수동 설치는 불가능해질 것임
    아직 IoT나 내부 대시보드 같은 영역은 자동화가 부족함

    • 예전에는 인증서 유효기간이 3년이었고, 2년짜리는 2018년에야 등장했음
      Let's Encrypt가 이미 그 전부터 짧은 주기의 자동화를 이끌었음
    • 예전에는 3년짜리 무료 인증서를 설치하고 잊어버리면 됐는데, 이제는 만료된 사이트가 자주 생겨서 불편함
      미국 IT 업계가 좋은 CA들을 몰아냈다고 생각함
    • 회사가 스택 전환 중이라 임시 인증서를 사려 했는데, 수십 개의 와일드카드 서브도메인 때문에 1년짜리 인증서가 3만 달러였음
      그래서 직접 CA를 만들어 내부 서버에 설치했고, 결국 다시 Let's Encrypt로 전환함
      이제 그런 비싼 인증서 시장이 존재한다는 게 믿기지 않음
    • IoT 쪽에서는 Matter 프로토콜에 ACME 기능을 넣어 허브가 자체 CA 역할을 하게 하면 좋겠다고 생각함
      현실적으로는 저가형 하드웨어에서는 어렵겠지만, 꿈꾸는 중임

  • 2007~2011년쯤 시스템 관리자였을 때는 직접 openssl로 CSR을 만들고 GoDaddy에서 인증서를 사서 수동 배포했음
    지금 생각하면 세상이 완전히 바뀐 것 같음
    Let's Encrypt는 인터넷 역사상 가장 훌륭한 서비스 중 하나임

    • S/MIME용으로도 이런 서비스가 생기면 좋겠음
    • 그 시절은 정말 지루하고 번거로운 작업의 연속이었음
    • 몇 년 전까지만 해도 수동으로 하다가 친구가 Let's Encrypt를 알려줬는데, 마치 마법 같았음

  • Snowden 사건도 TLS 확산의 큰 계기였음
    그 전에는 돈이 오가는 사이트만 TLS가 필요하다고 여겼고, 트래픽을 쉽게 스니핑할 수 있었음
    IRS 수사관이 2008년쯤 발표한 강연에서, 불법 카지노를 잡을 때 암호화가 전혀 장애가 아니었다고 말했음

    • 하지만 이는 사실 왜곡(retcon)
      Facebook은 2011년에 TLS를 도입했고, Google Mail은 2010년에 기본 TLS였음
      2010년 무렵엔 TLS 미적용 사이트가 보안 취약으로 분류될 정도였음
    • 실제로는 2000년대 후반부터 이미 광고 삽입형 HTTP 때문에 HTTPS가 필수가 되었음
      NSA보다 광고 수익 보호가 더 큰 동인이었음

  • 웹 트래픽 암호화가 기본이 된 건 좋지만, 이제는 CA의 승인 없이는 기본 기능을 쓸 수 없다는 점이 아쉬움

    • “CA의 승인”이란 표현이 무슨 뜻인지 묻고 싶음
      Let's Encrypt는 도메인 소유만 확인할 뿐, 사이트 내용에는 관여하지 않음
      관련 글: Phishing and Malware
    • 이건 새로운 문제가 아니라, Let's Encrypt가 해결하지 못한 오래된 구조적 문제임
      스택 전체에 이런 단일 실패 지점이 많음
    • DNS도 사실상 필수 요소이므로 비슷한 상황임
      주요 인증기관이나 TLD도 사이트의 성격을 묻지 않음

  • Let's Encrypt 발표 당시에는 “좋은 아이디어지만 브라우저들이 받아줄까?” 싶었음
    지금은 모든 셀프호스팅 사이트에 적용하고 있고, 회사도 자동 갱신으로 전환할 예정임
    예전의 SSL/TLS 고통을 생각하면, 새 사이트를 만들 때마다 LE 인증서를 받을 때마다 미소가 지어짐

  • Let's Encrypt가 독립성을 유지하고, Google 같은 대기업에 인수되지 않기를 바람
    SSL 발급이 검열 도구로 악용되는 세상은 끔찍할 것임
    요즘 브라우저는 HTTP 사이트를 거의 악성처럼 보이게 함

    • Google이 검열하려면 SSL보다 Safe Browsing 블랙리스트 같은 더 강력한 수단이 있음
    • Let's Encrypt는 비영리 단체라 일반 기업처럼 인수될 수 없음
      미국 세법상 비영리 자산은 비영리 영역에 남아야 하므로, 대기업이 망칠 위험은 없음

  • 매년 기부 목록에 Let's Encrypt를 포함시킴
    모든 브라우저가 HTTPS를 요구하는 시대에, 이 서비스 없이는 인디 개발자들이 버티기 힘들었을 것임
    정말 고마운 프로젝트임

  • 지난 10년이 훌륭했음
    앞으로는 발급 인프라의 분산화복원력 강화가 필요함
    섬 지역에서 인터넷이 자주 끊기는데, 인증서 수명이 짧아지면 문제가 될 수 있음
    ccTLD 등록기관과 협력해 지역 발급 시스템을 구축하길 바람

  • 7년째 Let's Encrypt를 사용 중임
    블로그나 개인 프로젝트를 HTTPS로 운영할 수 있게 해줘서 삶이 훨씬 나아졌음
    Nextcloud 같은 걸 위해 매년 50달러를 냈을 것 같진 않지만, 보안 향상 효과는 엄청남
    세상을 조금 더 나은 곳으로 만든 모든 사람에게 감사함

답변달기