����TV

CA/Browser Forum은 TLS 인증서 유효 기간 및 인증서 내 CA 검증 정보의 재사용 기간의 단축 일정을 정하기 위해 . 해당 투표가 사용자에게 처음으로 영향을 미치는 시점은 2026년 3월입니다.

본 투표는 CA/Browser Forum에서 오랫동안 논의되어 왔으며, 여러 버전을 거쳐 인증 기관과 해당 고객의 피드백을 통합하여 진행되었습니다. 투표 기간은 2025년 4월 11일에 종료되어 치열한 논쟁이 펼쳐졌던 한 국면이 마무리되었으며 인증서 업계에서는 다음 단계에 대비할 수 있게 되었습니다.

새로운 TLS 인증서 유효 기간 일정

새로운 투표안을 통해 인증서 유효 기간을 47일로 제한했으며, 이로 인해 자동화는 필수가 되었습니다. Apple의 본 제안 이전에 Google은 인증서의 최대 유효 기간을 90일로 단축하자고 주장했지만 투표 기간이 시작되자마자 Apple의 제안에 찬성표를 던졌습니다.

향후 일정은 다음과 같습니다.

• 인증서 최대 유효 기간이 다음과 같이 단계적으로 단축됩니다.

  • 오늘부터 2026년 3월 15일까지 TLS 인증서의 최대 유효 기간은 398일입니다.
  • 2026년 3월 15일 기준으로 TLS 인증서의 최대 유효 기간은 200일입니다.
  • 2027년 3월 15일 기준으로 TLS 인증서의 최대 유효 기간은 100일입니다.
  • 2029년 3월 15일 기준으로 TLS 인증서의 최대 유효 기간은 47일입니다.

  ��

• 도메인 및 IP 주소 검증 정보를 재사용할 수 있는 최대 기간이 다음과 같이 단계적으로 단축됩니다.

  • 오늘부터 2026년 3월 15일까지 도메인 검증 정보를 재사용할 수 있는 최대 기간은 398일입니다.
  • 2026년 3월 15일 기준으로 도메인 검증 정보를 재사용할 수 있는 최대 기간은 200일입니다.
  • 2027년 3월 15일 기준으로 도메인 검증 정보를 재사용할 수 있는 최대 기간은 100일입니다.
  • 2029년 3월 15일 기준으로 도메인 검증 정보를 재사용할 수 있는 최대 기간은 10일입니다.

• 2026년 3월 15일 기준으로 주체 식별 정보(SII) 검증은 825일에서 단축되어 398일 동안만 재사용할 수 있습니다. SII는 OV(조직 검증) 또는 EV(확장 유효성 검사) 인증서에서 확인되는 ��사명 및 기타 정보로, 인증서로 보호되는 도메인 이름이나 IP 주소 외 모든 정보이며 SII가 없는 DV(도메인 검증) 인증서에는 영향을 미치지 않습니다.

  ��

왜 47일인가요?

47일이 임의의 숫자처럼 보일 수 있지만, 단계적으로 계산된 값입니다.

• 200일 = 최대 6개월(184일) + 총 30일인 한 달의 1/2(15일) + 1일 여유
• 100일 = 최대 3개월(92일) + 총 30일인 한 달의 1/4(7일) + 1일 여유
• 47일 = 최대 1개월(31일) + 총 30일인 한 달의 1/2(15일) + 1일 여유

변경 사항에 대한 Apple의 정당한 이유

Apple은 투표안을 통해 변화의 움직임을 지지하는 여러 주장을 내세웠는데, 그 중 특히 눈여겨볼 만한 부분이 있습니다. Apple에 따르면 CA/B Forum은 끊임없이 최대 유효 기간을 단축함으로써 효과적인 인증서 수명 주기 관리를 위해서는 자동화가 필수적이라고 수년간 전 세계에 알려왔습니다.

이번 투표안에서는 여러 이유로 유효 기간을 더 단축해야 한다고 주장하며, 그 중 가장 핵심적인 이유는 다음과 같습니다. 인증서의 정보는 시간이 지남에 따라 신뢰성이 점점 감소하며 이에 따라 인증서의 정보는 자주 재검증해야 합니다.

또한 CRL과 OCSP를 사용한 철회 시스템은 신뢰할 수 없다고 주장합니다. 실제로 여러 브라우저에서 이러한 기능을 등한시하는 경우도 많습니다. 투표안에서는 인증서 철회 시스템의 문제점을 길게 다루고 있습니다. 유효 기간이 짧을수록 철회 가능성이 있는 인증서 사용 시 발생하는 영향이 줄어듭니다. 2023년 CA/B Forum은 7일 이내에 만료되며 CRL 또는 OCSP 짶�원이 필요 없는 단기 인증서를 승인함으로써 이 철학을 한 단계 더 발전시켰습니다.

새로운 규칙에 대한 헷갈리는 부분 정리하기

새로운 규칙 중 헷갈릴 수 있는 요소는 두 가지 정도 있습니다.

1. 규칙이 변경되는 연도는 각각 2026년, 2027년 및 2029년으로, 두 번째 연도와 세 번째 연도의 간격은 2년입니다.
2. 2029년 3월 15일 기준으로 TLS 인증서 최대 유효 기간은 47일이지만, 도메인 검증 정보를 재사용할 수 있는 최대 기간은 단 10일입니다. 수동 재검증 방식 또한 계속해서 사용할 수 있지만 이 과정에서 검증에 실패하거나 운영이 중단되는 잠재적 위험이 있습니다.

인증 기관으로서 저희는 고객으로부터 ‘인증서를 보다 자주 교체하면 비용이 더 많이 부과되나요?’라는 질문을 많이 듣습니다. 그리고 이 질문에 대한 답은 바로 ‘더 부과되지 않는다.’입니다. 비용은 연간 구독을 기준으로 하며, 인증 기관으로서 터득한 바에 따르면 사용자가 자동화를 도입하면 인증서를 더 자주 교체하는 방식으로 자발적으로 전환하는 경우가 많습니다.

이러한 이유는 물론, 2027년 인증서 유효 기간이 100일로 변경됨에 따라 수동 절차가 번거롭게 느껴질 것이기 때문에 2029년 변경 사항이 적용되기 전에 자동화가 빠르게 도입될 것으로 기대하고 있습니다.

자동화된 인증서 수명 주기 관리에 대한 Apple의 입장은 반론의 여지가 없으며 ����TV에서도 오랫동안 준비해 온 부분입니다. ����TV는��트러스트 수명 주기 관리자��및��CertCentral을 통해 ACME 짶�원을 비롯한 여러 자동화 솔루션을 제공합니다.������TV의 ACME을 통해 DV, OV 및 EV 인증서를 자동화할 수 있으며 해당 ACME에는 ACME 갱신 정보(ARI) 짶�원도 포함되어 있습니다.

자동화를 최대한 활용하는 방법에 대한 자세한 내용을 알아보려면 저희에게 문의해 주세요.

디지털 신뢰의 최신 발전 소식

인증서 관리, 자동화 및 TLS/SSL과 같은 주제에 대해 자세히 알아보고 싶으신가요? ����TV 블로그를 구독하면 새로운 소식에 대한 알림을 받을 수 있습니다.