7월부터 인증서 기본 경로로 Identrust로부터 DST Root CA X3에서 자체 루트 인증서인 ISRG Root X1로 루트 발급자를 변경하려고 합니다. 문제는 이걸 안드로이드 7.0 이상에서만 신뢰해요. 마시멜로 아래에서는 바로 인증서 경고가 뜹니다. 그리고 통계를 보면 18년 10월 기준으로 절반 정도가 마시멜로 이하 버전입니다(...)
이제 7월 전에 클라이언트 단에서 이전 중간 인증서를 (DST로 cross-signe 된) 선택할 수 있도록 하기는 하는데.. 어떻게 돌아갈지 더 지켜봐야 할 거 같네요
정 안 되면 수동으로 leaf certificate + cross-sign )으로 수동으로 조합하는 방법도 있기는 한데, 이건 2021년에 현제
https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html
문제는... Let's Encrypt를 사용하는 사람들은 사이트 운영자들인데
사이트 운영자는 실제 유저들이 어떤 모바일 기기를 사용하는지에 대해 결정권이 없거든요.
PC라면 구버전 IE 쓰지 말라고 하면 그만인데 모바일은 O/S 버전에 묶여 있으니...
한국을 비롯한 선진국에서는 스마트폰 교체 주기가 2~3년, 길어야 4년이니 2021년이면 별 문제가 없겠지만,
개발도상국에는 3년 후에도 안드로이드 6.x 이하의 구형 기기가 수천만 대 남아 있을 것입니다.
전세계 SSL 보급을 목표로 하는 비영리단체가 보안상 긴급한 이유도 없이 호환성을 깨뜨리겠다는 것은
전형적인 실리콘밸리 스타트업스러운 발상으로 보입니다.
?
3년 후에는 Let's Encrypt에 선택권이 없어요. 애초에 Cross sign 된 인증서 유효기간이 끝나버린 거라.
DST x1 root 인증서 자체 유효기간이 2001년에 시작해서 2021년에 끝나거든요.
이 뒤에도 예전 클라이언트 효환성을 유지하려면 재계약이나 다른 회사랑 계약을 해야 할건데 누가 해 주겠어요?
안 해주면 구형 호환성 때문에 자기들이 인증서 유료로 팔 시장이 생길 건데.
Identrust에서 자기네 root 인증서가 만료되도록 내버려둘 리는 없지요. root 인증서는 유효기간이 20년씩 되니까, 이미 오래 전에 대체 인증서를 준비해서 각 브라우저에 내장시켜 놨을 겁니다. 지금 제 파이어폭스를 확인해 보니 Identrust가 보유한 root 인증서 중 2034년까지 유효한 것이 최소 2개 보이네요. 그걸로 교차서명하면 유효기간 문제는 전혀 없습니다.
결국 문제는 ISRG와 Identrust가 계약을 갱신할 의지가 있는가, 그리고 거기에 얽힌 비용입니다. ISRG 입장에서는 자기네 root를 주요 브라우저들이 신뢰하도록 하는 데 성공했으니까 굳이 교차서명을 받고 싶지 않아하는 것도 이해가 됩니다. 그러나 개발도상국의 모바일 기기 사용 현황과 교체 주기를 생각해 보면 2019년 7월은 확실히 시기상조이고, 2021년도 그다지 여유있는 일정은 아니네요. 교차서명 계약을 갱신해서 ~2024년 정도까지라도 유지해 주면 좋을 텐데... 미국 IT산업 종사자들이 아프리카 인터넷 유저들의 상황까지 과연 고려할는지...
위에서 다른 분이 언급하신 것처럼 기존 브라우저 호환성이 보장되는 무료인증서도 얼마든지 있기 때문에, 호환성을 유료인증서의 경쟁포인트로 잡기에는 무리가 있습니다. Comodo 같은 경쟁사가 여러 리셀러를 통해 1년 3달러대의 가격에 유료인증서를 사실상 덤핑하고 있는 상황에서 Identrust가 초저가 유료인증서 시장을 얼마나 중요하게 여기는지도 의문이고요.
https://community.buypass.com/t/k9r5cx/get-started
https://buypass.com/ssl/products/acme