https://xetown.com/topics/1212350
Let's Encrypt가 루트 CA를 IdenTrust의 DST Root CA X3에서 자체 루트 CA인 ISRG Root X1로 변경하려 했다가 호환성 문제 때문에 여러 차례 연기된 것을 아마 아실겁니다. 미뤄진 변경일인 2021년 9월 30일이 다가옴에 따라 다시한번 관련 내용을 정리해 볼까 합니다.(그 사이 변경된 것들이 있습니다)
ECC 중간/루트 인증서 관련 내용은 이미 https://xetown.com/topics/1566624 에서 다루었으니 생략하고, 구형 안드로이드 버전의 ISRG Root 신뢰 관련 변경사항이 있었습니다.
ISRG Root X1로 전환하려다가 연기된 가장 큰 이유는, 안드로이드 7.1.1 미만 버전에서 ISRG Root X1를 신뢰하지 않기 때문이였습니다. DST Root CA X3이 안드로이드 2.3.6 이상 버전에서 신뢰된다는 점과 아직도 안드로이드 구형 버전을 사용하는 소비자가 꽤 된다는 점에서 우려되는 부분이였는데요, 당분간은 걱정할 필요 없겠습니다.
https://letsencrypt.org/2020/12/21/extending-android-compatibility.html
기존 DST Root CA X3의 ISRG Root X1에 대한 교차 서명이 3년 더 연장됨에 따라, 구형 안드로이드 기기들도 ISRG Root X1를 적어도 2024년 초까지는 신뢰할 수 있게 되었습니다. 그때쯤이면 대다수 기기들이 교체되었으리라 판단한 것이죠. 다만 이 교차 서명은 안드로이드에서만 유효합니다. 이는 안드로이드가 기본적으로 루트 인증서의 유효기간을 체크하지 않기 때문이라고 합니다.
구형 안드로이드 외에 ISRG Root X1을 신뢰하지 않는 운영체제는 또 무엇이 있을까요? 일단 윈도우XP가 무척 의심되기는 합니다. 물론 제조사에서도 지원을 종료한 지 오래되었지만, 그건 구형 안드로이드도 마찬가지이니 윈도우XP만 욕할 수는 없지요. 통계를 보면 개발도상국에는 아직도 킷캣 등 오래된 안드로이드 기기가 많이 굴러다니고 윈도우XP 사용률 역시 꽤 높습니다. 최신 버전을 구동할 수 있는 PC는 비싸니까요. 2010년 전후에 나온 PC들이 무지막지하게 튼튼하다는 점도 한몫을 하는 것 같습니다.
저는 아주 다양한 사람들이 사용하는 우편번호 검색 API를 운영하고 있다 보니, 조금이라도 호환성이 떨어질 가능성이 있다면 향후 2~3년만이라도 유료인증서로 갈아타려고 합니다.