CA/Browser Forum(SSL 인증서 표준을 제정하는 업계 단체)은 2025년 4월 최대 인증서 유효 기간을 398일에서 2029년 3월까지 47일로 점진적으로 줄이기로 결정했습니다. 이는 유료와 무료를 불문하고 모든 인증 기관에 영향을 미칩니다.
타임라인
| 시행일 | 최대 유효 기간 | 최대 DCV 재사용 | 영향 |
|---|---|---|---|
| 2026년 3월 이전 | 398일 (13개월) | 398일 | 현재 상태 |
| 2026년 3월 15일 | 200일 | 200일 | 유료 CA가 더 짧은 인증서 발급 |
| 2027년 3월 15일 | 100일 | 100일 | Let’s Encrypt의 90일 모델에 근접 |
| 2029년 3월 15일 | 47일 | 10일 | 모든 인증서에 빈번한 갱신 필요 |
DCV 재사용 = 도메인 관리 검증 결과를 재사용할 수 있는 기간. 2029년까지 인증서가 47일 동안 유효하더라도 도메인 관리를 10일마다 재검증해야 합니다.
이런 변화가 일어나는 이유
짧은 유효 기간의 인증서가 더 안전합니다:
- 노출 기간 단축 — 키가 유출되어도 남은 유효 기간만큼만 피해가 제한됨
- 더 빠른 폐기 — 폐기 메커니즘(CRL, OCSP)이 신뢰할 수 없으므로, 짧은 유효 기간이 이를 덜 중요하게 만듦
- 자동화 강제 — 수동 갱신은 47일에서 확장할 수 없으므로, 업계가 자동화된 인증서 관리로 이동
- 신선한 검증 — 빈번한 도메인 관리 검증이 오래된 DNS, 매각된 도메인, 소유권 변경을 더 빠르게 감지
Apple이 이 변경을 제안했고, 네 개의 주요 브라우저 벤더(Apple, Google, Mozilla, Microsoft)가 모두 찬성 투표했습니다.
이것이 의미하는 바
Let’s Encrypt(90일 인증서) 사용 시
즉각적인 변화는 크지 않습니다. 이미 60-90일마다 갱신하고 있습니다. 2029년까지 갱신 주기가 약 60일에서 약 30일로 짧아질 것입니다.
필요한 조치: 신뢰할 수 있는 갱신 자동화(Certbot cron, acme.sh cron) 또는 신뢰할 수 있는 수동 프로세스(GetHTTPS와 캘린더 알림)를 확보하세요.
유료 인증서(1년 인증서) 사용 시
더 큰 변화입니다. 2026년 3월까지 최대 유효 기간이 200일로 줄어듭니다. 2029년까지 47일로 — Let’s Encrypt 모델과 동일해집니다.
필요한 조치: 자동화 계획을 시작하세요. 유료 인증서의 비용 이점(더 긴 유효 기간 = 더 적은 갱신)이 사라지고 있습니다. 많은 조직이 자동 갱신이 가능한 무료 Let’s Encrypt 인증서로 전환할 것입니다.
많은 인증서를 관리하는 경우
수백 개 도메인에 47일 유효 기간이면 연간 수천 번의 갱신이 필요합니다. 수동 관리가 불가능해집니다.
필요한 조치: ACME 기반 자동화(Certbot, acme.sh 또는 인증서 관리 플랫폼)를 구현하세요.
”설정하고 잊어버리기”의 종말
가장 큰 실질적 영향: 더 이상 1년짜리 인증서를 구매하고 잊어버릴 수 없습니다. 2029년까지 모든 웹사이트에 자동 갱신 파이프라인이나 매달 수동으로 갱신하는 사람이 필요합니다.
이것은 무료와 유료 인증 기관 사이의 경쟁의 장을 평등하게 합니다 — 모든 사람이 47일마다 갱신할 때, 유료 인증서의 장기 유효 기간 이점이 완전히 사라집니다.
DCV 재사용 변경 (간과하기 쉬운 부분)
같은 CA/B Forum 결의안이 도메인 관리 검증(DCV) 재사용 기간도 줄입니다:
| 시기 | 최대 DCV 재사용 |
|---|---|
| 현재 | 398일 |
| 2026년 3월 | 200일 |
| 2027년 3월 | 100일 |
| 2029년 3월 | 10일 |
DCV 재사용 = CA가 이전 도메인 검증 결과를 재사용할 수 있는 기간. 2029년까지 인증서가 47일 동안 유효하더라도 CA가 10일마다 도메인 관리를 재검증해야 합니다. 검증이 일회성 이벤트가 아닌 완전 자동화되어야 함을 의미합니다.
ACME 클라이언트(GetHTTPS, Certbot, acme.sh)에서는 매 갱신에 새로운 챌린지가 포함되므로 문제없습니다. 상용 CA를 사용한 수동 워크플로우에서는 상당한 운영 오버헤드가 추가됩니다.
지금 준비하는 방법
이미 Let’s Encrypt + Certbot/acme.sh를 사용하는 경우
이미 자동 갱신이 적용된 90일 인증서를 사용하고 있습니다. 추가 조치 불필요. 유효 기간이 47일로 줄어들면 cron 작업이 처리합니다 — 이미 하루에 두 번 확인합니다.
GetHTTPS(수동 갱신)를 사용하는 경우
현재 약 60일마다 갱신합니다. 47일 인증서에서는 약 30일마다가 됩니다. 옵션:
- 수동 계속 — 30일마다 알림 설정. 1-3개 도메인에 적합.
- 하이브리드 방식 — GetHTTPS로 첫 인증서, 이후 자동 갱신을 위해 Certbot 설치.
- 관망 — 47일 제한은 2029년 3월. 시간이 있습니다.
유료 1년 인증서를 사용하는 경우
지금 계획을 시작하세요:
- Let’s Encrypt 평가 — 2029년까지 유료와 무료 인증서의 갱신 빈도가 동일해짐. 프리미엄의 가치가 있나요?
- ACME 자동화 구현 — 상용 CA도 ACME를 지원 (DigiCert, Sectigo)
- 자동화 도구 예산 책정 — 100개 이상의 인증서를 관리하는 경우 인증서 수명 주기 관리 플랫폼
누가 투표했나요?
결의안(SC-081)은 네 개 주요 브라우저 벤더 모두가 지지했습니다:
- Apple — 변경 제안
- Google — 찬성 투표
- Mozilla — 찬성 투표
- Microsoft — 찬성 투표
CA의 반대는 엇갈렸지만, 브라우저 벤더에게 거부권이 있습니다. 변경은 확정되었습니다.
자주 묻는 질문
Let’s Encrypt가 90일 유효 기간을 변경하나요?
Let’s Encrypt는 새 규칙이 시행되면 47일로 줄이거나, 최대 범위 내라면 90일을 유지할 수 있습니다. 어느 쪽이든 갱신 과정은 변하지 않으며, 대부분의 사용자가 이미 60일째에 갱신합니다.
기존 인증서에 영향을 미치나요?
아닙니다. 이미 발급된 인증서는 명시된 만료일까지 유효합니다. 새 규칙은 시행일 이후에 발급되는 인증서에 적용됩니다.
지금 Let’s Encrypt로 전환해야 하나요?
1년짜리 인증서에 비용을 지불하고 있다면, 비용 대비 효과가 빠르게 변하고 있습니다. Let’s Encrypt의 90일 모델이 이미 47일 미래에 더 가깝고, 생태계(Certbot, acme.sh, GetHTTPS)가 성숙해 있습니다. 지금 전환하면 변경이 적용될 때 준비가 됩니다.
오래된 기기나 브라우저가 깨지나요?
아닙니다. 변경은 최대 유효 기간에 관한 것이지, 인증서 형식이나 TLS 버전이 아닙니다. 현재 인증서로 작동하는 오래된 기기는 짧은 유효 기간의 인증서에서도 작동합니다. 기기는 인증서가 얼마나 오래 유효한지 알지도 관여하지도 않습니다 — 만료일만 확인합니다.
내부/사설 인증서는 어떤가요?
이 변경은 공개적으로 신뢰되는 인증서(브라우저 신뢰 저장소에 있는 것)에만 적용됩니다. 기업 네트워크용 인증서를 발급하는 내부 CA는 CA/B Forum 규칙에 구속되지 않습니다.