CA/Browser Forum에서는 2029년까지 인증서의 최대 유효 기간을 47일로 단축하겠다는 투표 안건 SC-081v3에 동의했습니다.
핵심 내용:
- 수동 인증서 관리는 더 이상 현실적으로 지속 가능하지 않습니다. 수명 주기가 1년에서 47일로 단축되면서 운영 워크로드는 9배 증가하고, 오류 허용 범위는 극도로 줄어들어 기존의 스프레드시트나 캘린더 방식으로는 서비스 중단을 피할 수 없습니다.
- 가시성은 보안의 핵심 전제 조건입니다. 대기업에서는 섀도 IT와 문서화되지 않은 엔드포인트로 어려움을 겪어 예기치 못한 가동 중단이 발생하기도 합니다. 자동화된 중앙 집중식 인벤토리를 사용하면 모든 인증서를 추적하고 만료 전에 갱신할 수 있습니다.
- 모바일 애플리케이션은 "먹통" 상태가 될 수 있는 고유한 리스크를 안고 있습니다. 브라우저와 달리 모바일 앱은 서버 인증서가 빠르게 교체될 때 실패하는 정적 신뢰 로직을 포함하는 경우가 많기 때문에, 사용자에 대한 즉각적인 서비스 차단을 방지하려면 동적 핀닝 또는 공개 키 핀닝으로 전환해야 합니다.
- 이제 신뢰 인프라는 소프트웨어 제공 속도에 맞춰 운영되어야 합니다. 인증서를 개별 관리 작업으로 처리하면 배포 병목이 발생하므로, CI/CD 파이프라인에 인증서 상태를 직접 통합해 보안 정책을 적용하고 신뢰 체계를 지속적으로 검증해야 합니다.
- 안정성을 보장하려면 자동화가 사람의 개입을 대체해야 합니다. 수동 CSR 생성 및 이메일 기반 승인 방식은 지연 시간과 불일치를 일으키며, 47일 제한이 있는 환경에는 적용할 수 없습니다. ACME 기반의 이벤트 기반 자동화를 도입하면 갱신이 자동으로 실행되고, 일관되며, 안정적으로 이루어집니다.
자주 묻는 질문(FAQ)
새로운 규정에 따라 DCV의 재사용은 2029년까지 단 10일로 제한됩니다. 즉, 기업은 거의 매주 도메인 소유 증명을 제공해야 합니다.
모바일 앱은 "비대칭 격차"로 인해 어려움을 겪습니다. 분산된 바이너리에 신뢰 로직이나 고정된 인증서를 직접 내장하는 경우가 많은데, 이러한 바이너리는 서버 측 인증서가 교체되는 속도에 맞춰 업데이트될 수 없습니다.
Akamai는 동일한 키 쌍을 재사용하는 한편 인증서를 새로운 만료 날짜로 다시 발급할 수 있도록 하는 리프 인증서 핀닝 방식이나 제목 공개 키 정보(SPKI) 핀닝 방식으로 전환할 것을 권장합니다.
첫 번째는 엣지 플랫폼에서 최종 사용자에게 제공하는 인증서이고, 두 번째는 완벽한 신뢰 체인을 유지하기 위해 오리진 서버에서 엣지 플랫폼에 제공하는 인증서입니다.
오리진 인증서를 교체하는 데 수동 개입이 필요한 경우 Akamai는 임시방편으로 엣지 설정에 특정 오리진 인증서를 핀닝한 다음, 매년 또는 2년마다 해당 인증서를 교체하는 프로세스를 적용할 것을 제안합니다.
ACME 외부 계정 바인딩(EAB)은 인증 기관(CA)을 통해 검증된 계정에 자동 인증서 요청을 연동하는 메커니즘입니다. 이는 계정 등록 시 암호화 증명을 요구해 권한 있는 사용자만 인증서를 발급할 수 있도록 합니다. EAB는 자동화된 인증서 발급을 위한 접속 제어, 청구, 정책 컴플라이언스 및 감사 기능을 적용하는 데 일반적으로 사용됩니다.
ACME EAB는 상용 인증 기관과의 인증된 정책 기반 상호 작용을 허용해 기존 ID 제어 및 승인 워크플로를 유지하는 동시에 제로터치 자동화를 지원합니다.
리더십은 인증서 인벤토리를 점검해 단일 기준 데이터를 구축하고, 모든 수동 갱신 의존성을 파악하며, 모바일 앱을 점검해 리스크가 높은 리프 인증서 핀닝에서 벗어나도록 전환하는 것을 우선 과제로 삼아야 합니다.