IT한 것

Let's Encrypt 루트 인증서 만료

lovian 2021. 5. 13. 10:28

모든 내용은 아래의 링크에 포함되어 있습니다.

letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

 

DST Root CA X3 Expiration (September 2021) - Let's Encrypt

Last updated: Apr 6, 2021 | See all Documentation On September 30 2021, there will be a small change in how older browsers and devices trust Let’s Encrypt certificates. If you run a typical website, you won’t notice a difference - the vast majority of

letsencrypt.org

 

생각보다 여기저기 여파가 많을 것 같아서 조금 정리해봅니다.

 

Let's Encrypt

무료로 SSL/TLS 서버 인증서를 발급해주는 서비스입니다 (덕분에 인터넷 세상의 보안이 조금 더 안전해지겠지요)

 

왜 문제인지

Let's Encrypt는 두개의 Root 인증서를 사용하고 있습니다.

DST Root CA X3와 ISRG Root X1

이번에 DST가 9월 30일에 만료된다고 합니다.

대부분의 웹 브라우저나 OS는 ISRG를 신뢰하고 있기 때문에 문제가 없으나, 오래된 버전의 웹 브라우저나 OS는 DST만 신뢰하므로 DST가 만료되는 순간 Let's Encrypt를 통해 발급 받은 인증서로 서비스를 하는 웹 사이트는 접속시 검증 오류가 발생합니다. (사실 그냥 무시하고 진행하면 되는데, 무시하는 버튼이 바로 나타나지 않기 때문에 많은 사람들이 접속을 포기할 것 같습니다)

 

각 루트 인증서를 신뢰하는 환경은 아래와 같습니다

ISRG Root X1를 신뢰하는 플랫폼

DST Root CA X3를 신뢰하는 플랫폼

  • Windows >= XP SP3
  • macOS (most versions)
  • iOS (most versions)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Ubuntu >= precise / 12.04
  • Debian >= squeeze / 6
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 game console with firmware >= 5.00

 

위의 목록에서 ISRG에 없고, DST에 만 있는 환경을 사용하는 사람들은 전부 검증 오류를 만나게 됩니다

 

해결방법

이 문제가 해결되기 어려운 원인은, 오래된 환경을 업데이트하지 않고 계속 사용하기 때문입니다.

소프트웨어 사용 환경은 변하므로, 업데이트를 해야하는데 다양한 이유로 업데이트를 수행하지 않는 경우가 많습니다.

 

소프트웨어 업데이트 할때, 개발사는 기존 제품과 호환성을 최대한 유지하기 위해 고민하고 노력하지만, 어떤 상황에서는 사용자 환경의 변화를 필요로 할 경우도 있습니다.

 

즉 사용자 플랫폼의 변화가 필요한 상황입니다.

 

물론 추가 패치 같은걸 찾아보면 방법이 있을 수 있겠으나, 일반적인 사용자들에게 그런 방법은 방법이 아니니, 뚜렷한 해결 방법이 없다고 판단됩니다.

 

혹시라도 주변에 이러한 상황이 있는지 미리 조사하면, 혹시라도 생길 수 있는 크고 작은 문제들을 사전 방지 할 수 있을 수 있지 않을까 싶어 내용을 정리해봅니다.

 

'IT한 것'의 다른글

  • 현재글Let's Encrypt 루트 인증서 만료

관련글

티스토리툴바