Let’s Encrypt는 SSL/TLS 인증서를 무료로 발급하는 무료, 자동화된 비영리 인증 기관(CA)입니다. 63.9% 시장 점유율로 세계 최대 CA이며 2016년 출시 이래 10억 개 이상의 인증서를 발급했습니다.
Let’s Encrypt는 Internet Security Research Group(ISRG)이 운영하며, Mozilla, Google, EFF, Facebook 등이 후원합니다.
Let’s Encrypt 작동 방식
Let’s Encrypt는 ACME 프로토콜(Automated Certificate Management Environment, RFC 8555)을 사용하여 인증서 발급을 자동화합니다:
- 도메인 소유권 증명 — 챌린지(HTTP-01 또는 DNS-01)를 완료하여 도메인을 관리하고 있음을 증명
- CSR 제출 — ACME 클라이언트가 공개키가 포함된 인증서 서명 요청을 전송
- 인증서 수신 — Let’s Encrypt가 서명하고 인증서 체인을 반환
- 설치 및 갱신 — 인증서 배포; 90일마다 갱신
전체 과정이 자동화됩니다 — 이메일도, 서류 작업도, 결제도 없습니다. GetHTTPS, Certbot, acme.sh 같은 ACME 클라이언트가 프로토콜을 대신 처리합니다.
무료인 이유
Let’s Encrypt의 사명은 HTTPS를 보편화하는 것입니다. 수익 모델:
- 주요 기술 기업(Google, Mozilla, Meta, Cisco, EFF 등)이 후원
- 운영 비용이 적음 — 거의 모든 것이 자동화
- 개별 사용자를 위한 지원 인력 없음 — 커뮤니티 포럼만
- DV 인증서만 발급 — 복잡한 신원 검증을 수행할 필요 없음
“프리미엄으로 유도하는 무료”가 아닙니다. 유료 플랜, 업셀, 유료로 유도하기 위한 제한이 없습니다. 암호화가 사치가 아닌 기본이어야 하기 때문에 무료입니다.
요청 제한
Let’s Encrypt에는 남용을 방지하기 위한 요청 제한이 있지만, 정상적인 사용에는 충분합니다:
| 제한 | 값 | 비고 |
|---|---|---|
| 등록된 도메인당 인증서 | 주당 50개 | example.com과 모든 서브도메인 포함 |
| 중복 인증서 | 주당 5개 | 정확히 같은 도메인 이름 세트 |
| 실패한 검증 | 시간당 5개 | 계정당, 호스트 이름당 |
| 신규 등록 | 3시간당 IP당 10개 | ACME 계정 생성 |
| 보류 중인 인가 | 계정당 300개 | 동시에 미완료된 챌린지 |
테스트에는 Let’s Encrypt의 스테이징 환경을 사용하세요 — 훨씬 높은 제한이 있으며 테스트 인증서(브라우저에서 신뢰하지 않는)를 발급합니다.
Let’s Encrypt가 제공하지 않는 것
- OV/EV 인증서 — 도메인 검증(DV)만
- 전용 지원 — 커뮤니티 포럼만
- 보증 — 오발급에 대한 재정 보증 없음
- 인증서 관리 대시보드 — ACME 클라이언트가 그 역할
- 90일 이상의 인증서 — 설계에 의한 것 (짧은 유효 기간이 키 유출 시 노출 제한)
대부분의 웹사이트에서 이것들은 필요하지 않습니다. DV 인증서는 OV/EV와 동일한 암호화를 제공합니다. Let’s Encrypt vs 유료 SSL 비교 →
Let’s Encrypt 사용 방법
Let’s Encrypt와 직접 상호 작용하지 않습니다 — ACME 클라이언트를 사용합니다:
| 클라이언트 | 작동 방식 | 추천 대상 |
|---|---|---|
| GetHTTPS | 브라우저 기반, 설치 없음, 키가 로컬에 유지 | 서버 접근 없이 빠른 인증서 |
| Certbot | CLI 도구, 자동 갱신, 서버 통합 | root 접근이 있는 프로덕션 서버 |
| acme.sh | 셸 스크립트, root 불필요 | 경량 CLI 대안 |
| Caddy | 내장 ACME, 자동 HTTPS | Caddy 웹 서버 사용자 |
자주 묻는 질문
Let’s Encrypt는 안전한가요?
네. Let’s Encrypt 인증서는 유료 인증서와 동일한 암호학적 표준을 사용합니다. 모든 주요 브라우저와 운영 체제에서 신뢰됩니다. 3억 개 이상의 활성 인증서가 웹의 상당 부분을 보호합니다.
왜 90일 인증서인가요?
짧은 유효 기간은 개인키가 유출된 경우 피해를 제한합니다 — 공격자가 도난당한 키를 인증서가 만료될 때까지만 사용할 수 있습니다. 또한 수동 갱신보다 더 안정적인 자동화를 장려합니다. 참고: CA/Browser Forum은 2029년까지 모든 CA를 47일 유효 기간으로 이동시키고 있습니다.
상업용 웹사이트에 Let’s Encrypt를 사용할 수 있나요?
네. 상업적 사용에 대한 제한이 없습니다. Let’s Encrypt 인증서는 대기업, SaaS 제품, 전자상거래 사이트에서 사용됩니다. 라이선스가 사용에 대한 제한을 두지 않습니다.
Let’s Encrypt가 다운되면?
기존 인증서는 만료될 때까지 계속 작동합니다 — 홈 서버에 연결하지 않습니다. 장애 중에는 발급이나 갱신만 할 수 없습니다. Let’s Encrypt는 강력한 가용성 실적을 가지고 있으며 잘 자금이 지원되는 후원자들이 뒷받침합니다. 우려된다면 만료 전에 충분한 여유를 두고 인증서를 갱신하세요(90일 중 60일째).
Let’s Encrypt가 와일드카드 인증서를 지원하나요?
네. 와일드카드 인증서(*.example.com)는 DNS-01 챌린지를 통해 지원됩니다. 도메인 소유권을 증명하기 위해 DNS에 TXT 레코드를 추가해야 합니다.
Let’s Encrypt 숫자로 보기
| 지표 | 값 |
|---|---|
| 활성 인증서 | 3억+ |
| 전 세계 CA 시장 점유율 | 63.9% |
| 총 발급 인증서 | 10억+ |
| 인증서 유형 | DV만 |
| 유효 기간 | 90일 |
| 비용 | 무료 |
| 후원자 | Google, Mozilla, Meta, Cisco, EFF, Akamai 등 |
| 설립 | 2013년 (ISRG), 2016년 공개 출시 |
| 프로토콜 | ACME (RFC 8555) |
| 루트 CA | ISRG Root X1 |
Let’s Encrypt를 불신하는 사람들 (그리고 왜 틀렸는지)
“무료 = 덜 안전” — 암호화 강도는 CA가 아닌 TLS 사양에 의해 정의됩니다. 모든 CA가 동일한 알고리즘을 사용합니다. 무료 vs 유료 비교 →
“보증 없음 = 위험” — CA 보증은 CA 오발급 오류를 보장합니다, 사이트 해킹이 아닙니다. 공개적으로 문서화된 중요한 보증 지급 사례는 없습니다.
“90일 인증서 = 불안정” — 짧은 유효 기간은 보안 기능이지 한계가 아닙니다. 자동 갱신(Certbot)이 이를 투명하게 만듭니다.
“피싱 사이트가 Let’s Encrypt를 사용” — 맞지만, 피싱 사이트가 유료 인증서도 사용합니다. DV 인증서는 도메인 관리를 검증하지, 사이트의 합법성을 검증하지 않습니다. 이것은 설계에 의한 것입니다 — 암호화는 사이트의 의도와 관계없이 전송 중 데이터를 보호합니다.