타운광장토픽게시판

https://xetown.com/topics/1212350

 

Let's Encrypt가 루트 CA를 IdenTrust의 DST Root CA X3에서 자체 루트 CA인 ISRG Root X1로 변경하려 했다가 호환성 문제 때문에 여러 차례 연기된 것을 아마 아실겁니다. 미뤄진 변경일인 2021년 9월 30일이 다가옴에 따라 다시한번 관련 내용을 정리해 볼까 합니다.(그 사이 변경된 것들이 있습니다)

 


 

ECC 중간/루트 인증서 관련 내용은 이미 https://xetown.com/topics/1566624 에서 다루었으니 생략하고, 구형 안드로이드 버전의 ISRG Root 신뢰 관련 변경사항이 있었습니다.

 

ISRG Root X1로 전환하려다가 연기된 가장 큰 이유는, 안드로이드 7.1.1 미만 버전에서 ISRG Root X1를 신뢰하지 않기 때문이였습니다. DST Root CA X3이 안드로이드 2.3.6 이상 버전에서 신뢰된다는 점과 아직도 안드로이드 구형 버전을 사용하는 소비자가 꽤 된다는 점에서 우려되는 부분이였는데요, 당분간은 걱정할 필요 없겠습니다.

 

https://letsencrypt.org/2020/12/21/extending-android-compatibility.html

 

기존 DST Root CA X3의 ISRG Root X1에 대한 교차 서명이 3년 더 연장됨에 따라, 구형 안드로이드 기기들도 ISRG Root X1를 적어도 2024년 초까지는 신뢰할 수 있게 되었습니다. 그때쯤이면 대다수 기기들이 교체되었으리라 판단한 것이죠. 다만 이 교차 서명은 안드로이드에서만 유효합니다. 이는 안드로이드가 기본적으로 루트 인증서의 유효기간을 체크하지 않기 때문이라고 합니다.

  • profile

    구형 안드로이드 외에 ISRG Root X1을 신뢰하지 않는 운영체제는 또 무엇이 있을까요? 일단 윈도우XP가 무척 의심되기는 합니다. 물론 제조사에서도 지원을 종료한 지 오래되었지만, 그건 구형 안드로이드도 마찬가지이니 윈도우XP만 욕할 수는 없지요. 통계를 보면 개발도상국에는 아직도 킷캣 등 오래된 안드로이드 기기가 많이 굴러다니고 윈도우XP 사용률 역시 꽤 높습니다. 최신 버전을 구동할 수 있는 PC는 비싸니까요. 2010년 전후에 나온 PC들이 무지막지하게 튼튼하다는 점도 한몫을 하는 것 같습니다.

    저는 아주 다양한 사람들이 사용하는 우편번호 검색 API를 운영하고 있다 보니, 조금이라도 호환성이 떨어질 가능성이 있다면 향후 2~3년만이라도 유료인증서로 갈아타려고 합니다.

  • profile profile

    https://letsencrypt.org/docs/certificate-compatibility/

    일단 공식적으로는 XP SP3 이상을 지원한다고는 합니다. 다만 이게 윈도우의 루트 인증서 업데이트 기능에 의존하는데... 이게 SHA1 업데이트 지원 종료 이후 안되는건지는 모르겠지만 업데이트가 잘 되질 않습니다. (어쩌면 매일같이 켜질 않으니 업데이트가 되질 않는걸지도 모르겠습니다만... 아무튼 제가 테스트용으로 설치한 VM에는 ISRG Root는 커녕 DST Root CA X3마저 없어 체인 변경 전 인증서로도 접속이 불가능했습니다)

     

    vmware_TsfNce63V8.png

    업데이트만 잘 된다면 ISRG Root X1도 XP에 추가됩니다.

  • profile
    정보 감사합니다.