SSL 인증서 중 제일 저렴한 것은 DV(도메인 인증) 인증서입니다. Let's Encrypt나 ZeroSSL에서 발급해주는 인증서가 DV SSL 인증서인데요, 단어 그대로 도메인 소유권만 인증하는 방식입니다. 이 글에서는 그보다 더 엄격히 검사하는 EV-SSL 등은 다루지 않습니다.
아무튼 Let's Encrypt 등장 이전에는 이 DV SSL을 발급받기 위해서 일정 비용을 지불해야 했습니다. 이 비용이 적은 편은 아닌데다가 장기간 발급시 할인이 있으며, 매년 인증서 재발급을 받기 귀찮다는 이유로 3년짜리를 발급받아서 방치하는게 일반적이였습니다.(물론 후술하겠지만 지금은 3년짜리 구입해도 매년 갱신이 필요합니다)
Let's Encrypt가 등장하면서 이야기는 달라집니다. 비록 3개월뿐이긴 하지만 무료로 DV SSL 인증서를 발급할수 있게 된거죠. 물론 기본 3개월짜리 인증서만 발급되므로 갱신 스크립트 없이는 적용하기 귀찮다는 분들도 계시긴 합니다. 혹자는 유료 SSL 업체와 경쟁을 피하기 위함 아니냐는 추측도 합니다. 하지만 이는 인증서 보안과 자동화 권장 정책 때문입니다.
인증서 기간과 보안이 어떤 상관인지 궁금하실수도 있습니다. 모질라 재단에서 발표한 인증서 최대 기간 398일로 감소 공지에도 자세히 나와 있습니다만, 정리하자면
1. 민첩성 - 인증서 기간이 최대 5년이였으므로 MD5 인증서가 사라지기까지 5년이나 걸렸습니다. SHA-1 기반 인증서 역시 최대 기간이 3년이였던 관계로 3년이나 지나서야 사라졌습니다. 이렇듯 인증서 최대 기간이 길면 사이트가 보안 위협에 노출될 수 있습니다. 1년으로 기간을 줄임으로써 인증서들이 최소한 1년에 한번은 갱신이 필요하게 만들고, 최신 보안 기술을 발빠르게 적용할수 있게 됩니다.
2. 유출시 위험성 감소 - 인증서 유효기간이 1년 이상일 때 개인키가 유출되는 사고가 발생한다면 인증서 기간 만료까지 SSL 연결을 가로챌 수 있게 됩니다. SSL 개인키는 재발급시에나 교체 가능한 점을 생각해 보면 갱신 기간이 길면 그만큼 위험에 노출되는 기간도 길어집니다.
3. 도메인 기간을 넘는 인증서 유효기간 - 도메인은 보통 1년 단위로 구입합니다. SSL 인증서는 그렇지 않았습니다. 따라서 도메인은 2023년에 만료됨에도 불구 2023년을 넘어서 2025년까지 유효한 인증서를 발급받는 것도 가능했습니다. 이는 도메인 소유권이 다른 사람으로 넘어갈시 문제를 일으킵니다. 악성 사용자가 고의로 도메인 구입후 유효기간이 긴 인증서를 구입한 뒤, 만료 이후(혹은 도메인 거래 등을 통해) 3자가 도메인을 구입할시 미리 발급받은 인증서를 통해 MitM 공격이 가능해집니다. 물론 해당 경우 자체가 매우 드문 경우라고는 하지만 그럼에도 불구하고 얼마든지 가능성은 있는 일이죠.
인증서 기간은 보안과 위 사유로 연관되어 있습니다. 물론 세 경우 모두 자주 발생하는 일은 아니지만(특히 서버 설정을 개판으로 해뒀다던가 개인키 파일을 웹루트에 올려놓는 멍청한 짓을 하지 않는한 2번은 자주 발생하지 않죠), 1%의 가능성이라도 무시할수 없는 것입니다.
https://letsencrypt.org/2015/11/09/why-90-days.html
무료 인증서인 Let's Encrypt는 특성상 인증서 발급이 매우 간편하므로 인증서 기간이 늘어날 경우 보안 사고가 발생할 가능성 역시 같이 증가합니다. 또한 인증서 기간이 3개월보다 길다면 귀찮다는 이유로 인증서를 발급받은뒤 그냥 둘 가능성도 증가하겠죠.
결론은, 3개월마다 재발급받는것이 귀찮으시더라도 사이트에 가져야 할 최소한의 관심이라 생각하시고 2개월 반 정도 주기마다 재발급받아서 사용하시는걸 저는 권장드립니다. 가능하다면 연장 자동화 스크립트 설치가 좋지만 불가능하다면 알림이라도 맞춰 두시는걸 권장드립니다. 어차피 사이트 운영하시면 하루에 한번은 들어가 보셔야 하죠? (설마 그마저 귀찮으시다고 하진 않으시리라 믿습니다.)
감사합니다!!