Let’s Encrypt, 미국 제재 대상 지역에서 인증서 사용 금지 [PDF]

 (letsencrypt.org)
1P by GN⁺ | ★ favorite | 댓글 1개
  • Let’s Encrypt 인증서는 ISRG가 발급하는 SSL/TLS 디지털 인증서이며, 가입자는 인증서 요청·수락·사용 시 이 계약의 권리와 의무를 따르게 됨
  • 가입자는 인증서의 식별자 권한, 정보 정확성, 개인 키 보유·보호를 보증해야 하며, 미국 제재·수출통제 규정을 준수해야 함
  • 포괄적 미국 제재 대상 국가·지역에 있거나 그 법에 따라 설립됐거나 통상 거주하는 사람·단체는 인증서와 ISRG 제공 서비스를 사용할 수 없게 됨
  • 키 유출, 인증서 정보 오류, 오용, 만료·폐기, 불법 활동 사용 등 특정 조건에서는 가입자 또는 ISRG가 인증서 폐기를 진행해야 함
  • 계약은 무료 공공 서비스로 제공되는 인증서에 대해 ISRG의 보증을 제한하고, 책임 제한·준거법·관할·계약 변경 절차를 정함

계약의 성격과 기본 정의

  • Let’s Encrypt Subscriber Agreement는 가입자와 Internet Security Research Group(ISRG) 사이의 법적 구속력 있는 계약임
  • 계약 대상은 ISRG가 발급하는 SSL/TLS 디지털 인증서의 취득과 사용에 관한 양측의 권리와 의무임
  • 회사, 조직, 기타 단체를 대신해 행동하는 경우 해당 단체를 계약에 구속할 권한이 있음을 보증해야 함
  • ACME Client Software는 ACME 프로토콜을 사용해 Let’s Encrypt 인증서를 요청, 수락, 사용, 관리하는 소프트웨어 애플리케이션임
  • Certificate는 공개 키를 하나 이상의 식별자와 연결하고 발급 주체가 디지털 서명한 컴퓨터 기반 기록 또는 전자 메시지임

계약 효력, 기간, 잔존 조항

  • 계약은 ISRG에 Let’s Encrypt 인증서 발급을 요청하는 시점부터 효력이 발생함
  • 각 인증서는 인증서에 표시된 유효기간 동안 유효하며, 더 이른 시점에 폐기될 수 있음
  • 계약은 유효한 인증서를 보유하는 전체 기간 동안 계속 적용되며, 자동 갱신을 포함한 갱신 기간도 적용 대상임
  • 더 이상 유효한 Let’s Encrypt 인증서를 보유하지 않으면 계약이 종료됨
  • 개인정보, 면책, 보증 부인, 책임 제한, 준거법, 관할 선택, ISRG 상대 청구 제한, 부정 취득 인증서와 만료 인증서 사용 금지 조항은 계약 종료나 만료 이후에도 존속함

가입자의 보증과 책임

  • 가입자는 각 인증서의 대상이 되는 식별자의 정당한 등록자·양수인 또는 그 권한 있는 대리인임을 보증해야 함
  • 가입자는 식별자 지배권을 압류 결과로 얻지 않았거나, 압류 당시 해당 식별자에 계속되는 합법적 사용이 없었음을 보증해야 함
  • 가입자는 인증서 안의 가입자·식별자 정보와 ISRG에 제공하는 모든 정보가 정확하고 최신이며 신뢰 가능하고 완전하며 오해를 일으키지 않음을 보증해야 함
  • 가입자는 인증서의 공개 키에 대응하는 개인 키를 정당하게 보유하고, 해당 개인 키와 관련 활성화 데이터 또는 장치를 통제·보안·보호·비밀 유지해야 함
  • 가입자는 포괄적 미국 제재 대상 국가·지역에 있거나 그 법에 따라 설립됐거나 통상 거주하는 사람·단체가 아니어야 함
  • 가입자는 미국 또는 기타 적용 가능한 제재·수출통제 법규상 금지·제한 대상자가 아니어야 함
  • 가입자는 제재 대상 또는 금지·제한 대상자가 소유·통제하거나 그를 대신해 행동하는 사람·단체가 아니어야 함
  • 가입자는 Let’s Encrypt 인증서와 ISRG 또는 ISRG를 대신해 제공되는 서비스를 적용 가능한 미국 수출통제·제재 법규에 맞게 사용해야 함

인증서 발급, 사용, 폐기 의무

  • 인증서 내용은 가입자 또는 ACME Client Software가 ISRG에 보내는 정보를 기반으로 함
  • ISRG가 인증서 요청을 수락하면 인증서를 생성하고 ACME 프로토콜을 통해 가입자에게 제공함
  • ISRG가 요청의 유효성을 확인할 수 없으면 요청이 거절될 수 있음
  • ISRG는 계약에 명시됐거나 명시되지 않은 합법적 이유를 포함해 단독 재량으로 인증서 요청을 거절할 수 있음
  • 키 쌍은 가입자 또는 ACME Client Software가 가입자 시스템에서 생성하며, ISRG는 개인 키에 접근하지 못함
  • ISRG는 기술적 방법과 프로토콜로 대상 식별자에 대한 통제권을 확인하며, 이 확인은 인증서 발급 여부 판단을 돕기 위한 절차임
  • 가입자는 인증서 내용을 즉시 검사해야 하며, 부정확성·오류·결함·기타 문제를 알게 되면 즉시 폐기를 요청해야 함
  • 인증서를 처음 사용하거나 대응 개인 키를 처음 사용하면 인증서를 수락한 것으로 간주됨
  • 초기 검사 직후 즉시 폐기를 요청하지 않아도 인증서를 수락한 것으로 간주됨
  • ISRG는 인증서 전체를 복제·배포하고 계약을 준수하는 조건으로 비독점·무상 라이선스를 부여함
  • 인증서의 목적은 인터넷 통신을 인증하고 암호화하는 것임
  • 가입자는 인증서를 인증서의 subjectAltName에 기재된 서버에만 설치해야 하며, 모든 적용 법률과 계약에 맞게 사용해야 함
  • 가입자는 암호화 통신 방해 기능을 제공하는 소프트웨어 또는 하드웨어 아키텍처에서 인증서를 사용하지 않아야 함
    • 금지 예시는 능동적 도청, 중간자 공격, 소유하거나 통제하지 않는 도메인명 또는 IP 주소의 트래픽 관리임
  • 개인 키 오용 또는 키 유출이 실제로 발생했거나 의심되면 해당 인증서 폐기를 즉시 요청해야 함
  • 인증서 정보가 오해를 일으키거나 부정확해졌거나 틀렸으면 해당 인증서 폐기를 즉시 요청해야 함
  • 폐기 사유 코드를 제공하기 전 Let’s Encrypt 문서의 “Revoking Certificates” 지침을 검토해야 함
  • ISRG는 다른 폐기 사유 코드가 더 적절하거나 업계 표준상 필요하다고 판단하면 가입자가 제공한 폐기 사유 코드를 수정할 수 있음
  • 인증서 정보가 오해를 일으키거나 부정확하거나 틀린 경우, 또는 인증서가 폐기·만료된 경우 해당 인증서 사용을 즉시 중단해야 함
  • 키 유출이 알려졌거나 의심된다는 이유로 인증서가 폐기된 경우, 해당 공개 키에 대응하는 모든 개인 키 사용을 즉시 중단해야 함

ISRG의 권리, 책임 제한, 추가 조건

  • 가입자가 ISRG에 보내는 정보와 인증서는 공개 기록이 될 수 있음
  • ISRG의 정보 수집·저장·사용·공개는 Let’s Encrypt 개인정보 처리방침의 적용을 받음
  • ISRG는 인증서가 유효하지 않거나 손상됐다는 통지를 받으면 해당 인증서를 즉시 폐기할 수 있음
  • ISRG는 인증서 폐기 여부를 단독 재량으로 결정함
  • 가입자 또는 대리인이 인증서 폐기를 요청하면 ISRG는 실행 가능한 한 빨리 해당 인증서를 폐기함
  • 개인 키로 서명된 폐기 요청은 자동으로 유효한 요청으로 간주됨
  • ISRG는 인증서가 부적절하게 발급됐거나 허위 진술·은폐·사기로 취득된 경우 사전 통지 없이 즉시 폐기할 수 있음
  • ISRG는 인증서가 신뢰할 수 없게 됐거나 그렇게 보이는 경우 사전 통지 없이 즉시 폐기할 수 있음
  • ISRG는 개인 키 보안이 도난·분실·손상됐거나 무단 사용 대상이 됐을 수 있는 경우 사전 통지 없이 즉시 폐기할 수 있음
  • ISRG는 인증서가 피싱, 사기, 악성코드 배포 같은 범죄 활동을 가능하게 하는 데 사용됐거나 사용된 경우 사전 통지 없이 즉시 폐기할 수 있음
  • ISRG는 인증서가 타인의 트래픽을 가로채는 데 사용됐거나 사용된 경우 사전 통지 없이 즉시 폐기할 수 있음
  • Let’s Encrypt 인증서와 ISRG 제공 서비스는 명시된 경우를 제외하고 “있는 그대로” 제공되며, ISRG는 소유권·비침해·상품성·특정 목적 적합성에 대한 묵시적 보증을 부인함
  • Let’s Encrypt 인증서는 무료 공공 서비스로 발급되므로, ISRG는 인증서와 관련된 손실, 피해, 청구, 변호사 비용에 대한 책임을 부담하지 않음
  • 계약의 준거법은 캘리포니아주 법이며, 계약 관련 청구·소송·절차는 캘리포니아 San Jose의 주 또는 연방 법원에서 제기해야 함
  • ISRG를 상대로 하는 계약 관련 청구·소송·절차는 주장된 피해, 손실, 위법 행위가 발생한 날부터 1년 안에 시작해야 함
  • ISRG는 계약을 수시로 수정할 수 있으며, 수정된 계약은 효력 발생 최소 14일 전에 letsencrypt.org에 게시됨
  • 중대한 변경은 ACME 프로토콜에서 새 Subscriber Agreement 버전 번호로 표시되며, ACME Client Software가 해당 변경을 알리도록 설정될 수 있음
  • 인증서 요청 시 ISRG는 인증서 요청·사용, 인증서 폐기, 서비스 종료와 관련된 이메일을 보낼 수 있음
  • ACME API를 통해 이메일 주소를 제공하면 ISRG가 추가 커뮤니케이션 구독 옵션을 제안하는 이메일 1건을 보낼 수 있음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • Let’s Encrypt의 사명은 더 안전하고 프라이버시를 존중하는 웹을 만드는 것이라면서, 정작 그게 가장 필요한 나라에 사는 사람들은 제외되는 모양임
    다만 이건 적성국에 SSL 기술을 수출하지 말라는 미국의 황당한 법적 요구에서 비롯된 것 같음. 예전 웹 브라우저가 40비트 암호화만 지원하는 “국제 친화” 버전과 128비트 암호화를 지원하는 “고급 보안” 버전으로 나뉘던 시절을 기억하는 사람도 있을 것임

    • Let’s Encrypt는 여전히 전 세계 거의 모든 취약한 집단에게 제공되고 있고, 가장 필요한 사람들도 포함된다고 봄. 다만 이 주제가 복잡해서 절대적으로 말하긴 조심스러움
      제재 관련 차단의 대부분은 특정 제재 대상 국가의 정부에만 적용되고, 일반 국민에게 적용되는 것은 아님
      이번 가입자 계약 업데이트는 법적 요구사항을 더 잘 반영하려는 것이었고, 제공하는 서비스의 큰 변화는 아님. 컴플라이언스 프로그램은 시간이 지나며 변하고, 약관에서 이를 더 잘 전달하는 것도 그 일부임. 여기 댓글들을 보면 문구를 더 이해하기 쉽게 만들 필요가 분명해 보이고, 그 부분은 개선하겠음
      그리고 이건 “적성국에 SSL 기술을 수출하지 말라는 미국 법” 때문이 아님
    • PGP 코드가 책으로 인쇄되어 수출되던 시절을 실제로 기억함. 강한 키를 쓰는 암호화 소스 코드를 디지털 형태로 수출하는 건 금지됐지만, 책은 수정헌법 1조로 보호돼 괜찮았음
      해외에서 그 인쇄물을 스캔해 소스를 복원하고 합법적으로 PGP를 빌드했음
    • 이건 아마 OFAC일 가능성이 큼. Let’s Encrypt는 제재 대상과 거래하기 위한 라이선스를 신청할 수 있고, 사용 목적을 보면 승인될 가능성도 높아 보임
      https://ofac.treasury.gov/ofac-license-application-page
    • 요즘 기술 전반에서 미국 법체계가 거대한 분열과 디지털 철의 장막을 빠르게 세우는 느낌임. AI 모델부터 TLS 인증서 같은 더 일상적인 것까지 그럼
      미국 기반의 많은 Linux 배포판이 이미 한동안 이런 노선을 따랐고, RedHat도 Let’s Encrypt와 꽤 비슷한 고지를 해왔음
      의미 있는 오픈 프로젝트라면 결국 RISC-V처럼 이전할지, Let’s Encrypt와 다른 프로젝트들처럼 분리를 집행할지 경로를 선택해야 할 듯함
    • 이런 물건을 실제로 갖고 있던 사람도 있음
      http://www.cypherspace.org/adam/uk-shirt.html
      미국에서 수출하면 기술적으로 불법일 만큼 강한 RSA 암호화를 구현한 Perl 스크립트가 적힌 티셔츠였음
      안타깝게도 90년대 말 그 티셔츠를 입고 미국에 갈 만큼 무모하거나 용감하진 못했음

  • Let’s Encrypt가 유럽이나 미국 및 그 하위 동맹권 밖에 지사를 둘 수는 없었을까?
    About 페이지에서 밝힌 목표와 배치됨. “공익을 위해 운영되는 서비스”, “도메인 이름을 가진 누구나 무료로 신뢰된 인증서를 얻을 수 있음”, “어느 한 조직의 통제를 넘어 커뮤니티에 이익을 주기 위한 공동 노력”이라고 해놓고, 이제는 자신들이 정치 조직의 통제 아래 있음을 인정한 셈임
    2026-06-04에 가입자 계약에 추가된 문구는, 포괄적 미국 제재 대상 국가나 영토에 있거나 그 법에 따라 설립됐거나 통상 거주하는 사람·단체, 미국 또는 기타 적용 가능한 제재·수출통제법상 금지·제한 대상, 또는 그런 대상이 소유·통제하거나 대리하는 사람은 아니어야 하며, Let’s Encrypt 인증서와 ISRG 제공 서비스를 미국 수출통제 및 제재법에 맞게 사용해야 한다는 내용임

    • 가능은 하지만, 그 지사가 해당 법을 따르지 않으면 미국 본부가 여전히 책임을 지게 됨
    • 유럽에 있어서는 안 됨. 말한 것처럼 미국 하위 동맹권도 미국 자체보다 낫지 않기 때문임
      차라리 Singapore나 Uruguay 같은 중립국으로 옮기는 편이 나음
    • Let’s Encrypt에 해당하는 비미국 서비스들도 있음
    • Let’s Encrypt는 지사로 쪼갤 수 있는 코드나 회사 같은 게 아님. 존재 기반은 브라우저와 운영체제와의 신뢰 관계에 있음
      대체 루트를 만드는 기술 자체는 도메인 이름이나 IP 주소 체계처럼 거의 사소하지만, 그 대체 루트가 세계의 나머지 참여자에게 받아들여질 신뢰를 얻는 일이 훨씬 어려움
      예를 들어 누군가 러시아판 Let’s Encrypt를 만들었다고 해보면, ACME 챌린지로 인증서를 요청하고 받을 수 있다는 기술적 측면은 기존 LE와 같을 수 있음. 하지만 어떤 브라우저도 이를 유효하다고 인정하지 않고, 어떤 운영체제도 유효하다고 보지 않을 것임. 러시아 정부가 정부 컴퓨터에 새 LE를 신뢰 대상으로 추가할 수는 있겠지만, 진짜 일은 세계의 다른 참여자들도 그렇게 하게 만드는 것임. 문제는 기술이 아니라 신뢰 위에 세워진 사회적 문제임
      러시아가 우크라이나를 침공했을 때 IANA/ICANN이 러시아를 도메인 이름과 IP 주소에서 끊어야 하는지 큰 논의가 있었음. 결론은 그렇게 하지 않는 것이었는데, 상징적 이익은 작고 전체 시스템에 줄 피해가 특히 전쟁 이후까지 너무 크다고 봤기 때문임. 루트가 둘이면 도메인 이름이나 IP 주소가 갑자기 두 위치를 가질 수 있고, 나중에 고치고 싶어도 엄청난 고통이 됨. 인증 기관은 이 특성이 없어서 거의 무한한 수의 루트가 공존할 수 있고, 해시 충돌이 없다는 전제에서는 서로 충돌하지 않음. 러시아가 새 인증 기관을 띄우면 원하는 사람은 오늘부터 쓸 수 있고, 전쟁이 끝난 뒤에도 계속 쓸 수 있음
    • 완전히 독립적인 단체가 훨씬 나은 선택지임. 프로토콜은 어차피 열려 있으니 다른 제공자로 가리키기만 하면 됨

  • Iran은 몇 달째 인터넷을 차단하고 있는데, 미국은 안전한 연결 생성을 금지한다니 정말 “효과적”임
    러시아의 준정부 조직들은 러시아 주민을 감시하려고 검열 시스템인 TSPU에 천문학적인 루블을 쓰고 있는데, 미국은 접근 가능한 암호화를 금지해 현재 암호화된 트래픽도 엿볼 수 있게 만들어 그들을 도와주는 꼴임

    • Let’s Encrypt 인증서는 Iran과 Russia 모두에서 계속 사용 가능하며, 다만 Iran과 Russia 정부에는 제공되지 않음
      관련 법을 준수해왔다는 점을 명확히 하려는 약관 업데이트일 뿐이고, 두 나라의 상황을 바꾼 것은 아님
    • [Iranian here] 완전히 동의함. 미국이 Iran의 시민과 기업이 AWS나 DigitalOcean 같은 클라우드 인프라를 쓰지 못하게 금지했던 일이 떠오름
      그 결과 사람들과 기업들이 정부가 후원하는 로컬 클라우드 서비스로 이동했고, 정부는 은행, 전자상거래, 온라인 택시 호출, 음식 배달 같은 필수 서비스는 중단하지 않으면서도 원할 때마다 인터넷 접근을 차단하기가 훨씬 쉬워졌음
    • TSPU는 감시용이 아니라 검열 집행과 VPN 없이 여기서 인터넷을 쓰는 경험을 비참하게 만드는 여러 기능을 위한 것임. 감시용은 SORM임
      그리고 Roskomnadzor는 명백히 정부의 일부임

  • 이 일은 디지털 인증서가 결국 인증 기관 소유자를 대신해 배제를 강제하는 수단이라는 직감에 힘을 실어줌
    소프트웨어든 펌웨어든 하드웨어든, 이번처럼 SSL/TLS든, 디지털 인증서의 영향을 받는 것에 대해 사람들이 완전한 소유권과 통제권을 갖지 못하게 만드는 도구임. 위장한 디지털 폭정임

    • 여기서는 인증 기관이 주된 통제권을 가진 것처럼 보이지만, 실제 통제는 인증 기관을 신뢰 대상으로 넣어둔 브라우저와 운영체제에 있음
      사용자도 적어도 현재로서는 인증 기관을 추가하거나 제거할 수 있음. 스마트폰 같은 기기에서는 그 통제가 조금 덜 명확하긴 함
      소프트웨어 패키지에 서명하는 디지털 인증서는 일부 제조사가 배제를 강제하는 데 사용함. Let’s Encrypt는 내가 알기로 그 영역에 있지 않지만, 그 경우 소유자는 어떤 인증 기관을 신뢰할지 결정할 권리가 없고 보통 제조사만 신뢰 대상으로 들어감. 기술적으로는 패키지에 서명하는 루트 인증서의 소유자라 하더라도, 그런 주체를 인증 기관이라고 불러야 하는지도 논쟁적임
    • 늘 이를 신뢰 사슬로 봤고, 누구나 루트 인증서를 만들어 자신을 신뢰하는 사람들에게 배포할 수 있다고 생각함
      대부분의 단순 서비스는 TLS가 필요 없을 수도 있지만, ISP가 통신을 엿보는 상황에서는 안전한 통신 방식이 필요하고, 현재 최선의 해법은 신뢰 사슬을 구축하는 방식임
    • 신뢰 모델의 핵심은 애초에 사람을 배제하는 것임. 그게 명시된 목표임
      신뢰 없이 암호화만 원한다면 자체 서명 인증서를 쓰면 됨
    • “디지털 폭정”은 주목적이 아니라 부작용이라고 봄. 디지털 인증서는 주로 특정 종류의 중간자 공격을 막기 위한 수단임

  • 제재 대상과 거래하는 순간, 계약 전체를 위반하게 되어 모든 인증서가 폐기될 위험이 있어 보임. 제재 대상이 아닌 국가의 인증서까지 포함해서임
    앞부분부터 “Subscriber Agreement”라고 부르고, 범위가 단일 인증서임을 암시하는 이름이 아님. 또한 “Certificates”라고 복수형으로 권리와 의무를 다루는 계약이라고 되어 있음
    2.1 “Term”에는 “당신의 인증서 중 어느 하나라도 유효한 전체 기간” 동안 계약이 유지된다고 되어 있고, 3.1 “Warranties”에는 “Let’s Encrypt 인증서 하나를 요청, 수락 또는 사용함으로써”라고 되어 있어 범위가 넓어 보임

    • 오늘 Iranian에게 인사했는데, Let’s Encrypt가 내 웹사이트를 폐기하는지 보겠음

  • 이건 정말 나쁨. 최악에 가까움. 제재 대상 국가에서 모든 로컬 서비스가 멈추기 시작하면, 그 나라 정부는 모든 사용자에게 루트 인증서 설치를 강제하거나 로컬 서비스와 웹사이트 접근을 끊을 것임
    그러면 그 루트 인증서를 중간자 공격에 사용할 수 있게 됨. 최악의 경우 대다수 사용자가 루트 인증서를 설치한 뒤, 국가 심층 패킷 검사 장비가 모든 트래픽에 중간자 공격을 걸고 중간자 공격이 불가능한 트래픽은 전부 차단할 수 있음

    • 제재가 효과를 낸 셈이네
    • 왜 다운보트를 받았는지 모르겠음. 러시아 정부는 이미 Yandex Browser를 이용해 은행용 정부 루트 인증서를 밀어붙이려 한 적이 있고, 이제 이런 일이 생김

  • 이건 카나리아인가?
    Greenland, Cuba, EU 같은 곳에서 Let’s Encrypt 인증서 하나를 새로 쓰거나 계속 쓰면 무슨 일이 생기는 걸까?
    Let’s Encrypt가 소환장을 받은 건가?

    • ISRG가 소환장을 받았을 가능성 자체는 있음. 지금 미국 DOJ가 정치꾼과 무능한 광대들의 혼합물처럼 보이기 때문임. 하지만 별 의미는 없음. 핵심은 그들이 아는 것이 없다는 점임
      그들에게 알려준 내용은 “subpoena” 철자도 모르고 발부할 줄도 몰라도 누구나 볼 수 있게 공개 로그에 기록되는 정보임
      어떤 사람들은 인증 기관이 비밀을 갖고 있고, 사용자가 그 비밀을 만들어 인증 기관에 보냈거나 인증 기관이 만들어 사본을 줬기 때문에 미국 정부가 소환장으로 그 비밀을 얻을 수 있다고 상상함. 하지만 공개 키 기반 구조의 핵심은 공개 키 암호화를 쓴다는 데 있음. 여기저기에 모두가 비밀을 들고 있어도 괜찮았다면 이 전체 구조가 필요 없었음
    • Greenland도 EU도 미국의 제재 대상이 아님

  • 이게 정말 새로운 일인가? 나한테는 암호화 기술에 대한 표준적인 미국 수출 제한처럼 보임. 이런 제한은 90년대부터 있었음
    Let’s Encrypt가 미국 회사이거나, GitHub에 뭔가 올리거나, 주요 앱 스토어에 뭔가 게시한다면 미국의 암호 관련 수출 제한을 받게 됨. Google Play에 앱을 올릴 때마다 그 앱이 암호화를 어떻게 쓰는지 미국 정부에 신고하는 양식을 제출해야 했음
    이런 제한은 1950년대 후반부터 시행되어 왔고, 컴퓨터 암호화와 관련해 길고 복잡한 역사가 있음. 이 문구는 미국 EAR 수출 요구사항을 준수하기 위해 필요한 상용 문구처럼 보임

    • 인증서는 암호기술이 아니라 그냥 숫자임. 인증서를 요청하는 쪽은 이미 서버에 암호화 소프트웨어를 설치했고, 접속하려는 클라이언트도 마찬가지임
      그 숫자에는 기술적으로 특별한 것이 없고, 신뢰 사슬이 축복했다는 사회적 계약의 영역에 있음
    • 프라이버시를 진지하게 증진하려는 조직이라면 90년대나 50년대부터 미국을 피했어야 함. 그래도 안전한 관할권으로 재설립하기에 두 번째로 좋은 때는 오늘임

  • “sanction”이라는 단어는 참 마음에 듦. 자기 자신의 반의어임
    “The committee sanctioned the new policy.”에서는 승인했다는 뜻이고, “The committee sanctioned the rogue nation.”에서는 제재했다는 뜻임

    • 전통적인 영어에는 cleave 같은 자가반의어가 많음

  • 웹 인증서의 약 60%를 단일 제공자에 몰아넣은 건 실수였을지도 모름

    • 다행히 그 제공자를 쓰는 모두가 열린 프로토콜을 쓰고 있고, 전환도 아주 쉬움
    • 그 전에는 모두 암호화되지 않았고 인증서를 얻으려면 돈을 내야 했음. 다시 그때로 돌아갈 수도 있겠지만, 이제는 암호화되지 않은 모든 연결이 중간자 공격을 당한다는 걸 아는 세상임. 지금 세상은 훨씬 더 적대적임
답변달기