공익 인증 기관인 Let's Encrypt는 새로운 "Y세대" 인증서 계층의 출시를 발표했으며, 인터넷 암호화 통신의 보안을 더욱 강화하기 위해 향후 몇 년간 단계적으로 기본 인증서 유효 기간을 45일로 단축할 계획입니다. 이러한 일련의 조정에는 TLS 클라이언트 인증을 더 이상 사용하지 않고 기본 ACME 구성을 새 인증서 계층으로 전환하는 것도 포함됩니다.
Let’s Encrypt에서는 새로 활성화된 Y세대 아키텍처가 2개의 새로운 루트 인증서(루트 CA)와 6개의 새로운 중간 인증서(중간 CA)로 구성되어 있다고 밝혔습니다. 이러한 새 인증서는 기존 X세대 루트 인증서 X1 및 X2에 의해 교차 서명되므로 현재 X1/X2를 신뢰하는 환경에서도 새 아키텍처를 신뢰할 수 있고 사용할 수 있습니다. 관계자는 또한 TLS 클라이언트 인증이 2026년 2월부터 종료될 것이라고 재차 밝혔습니다. 2026년 5월 13일부터 기본 클래식 ACME 구성은 Y세대 기반 수준으로 전환되며 더 이상 클라이언트 인증 기능을 포함하지 않습니다. 여전히 전환이 필요한 사용자를 위해 Let’s Encrypt는 2026년 5월까지 기존 X세대 루트 인증서를 계속 사용할 수 있는 tlsclient 구성을 제공합니다.
인증서 유효 기간 측면에서 Let’s Encrypt는 CA/브라우저 포럼의 기본 요구 사항에 따라 인증서 수명 주기를 점진적으로 단축할 것입니다. 2026년부터 자발적인 "물 테스트" 단계에 돌입하며 얼리 어답터와 테스트 사용자는 tlsserver 구성을 통해 유효 기간이 45일인 인증서를 선택할 수 있습니다. 2027년에는 기본 인증서 유효 기간이 64일로 단축되고, 2028년에는 단기 인증서가 표준이 되는 2028년에 기본 인증서 유효 기간이 45일로 더욱 단축됩니다. 관계자들은 인증서 수명주기를 단축하면 공격 시간 창을 줄이고, 암호화 알고리즘 업데이트를 더 빠르게 촉진하며, 잘못된 발급과 같은 문제의 장기적인 영향을 줄일 수 있다고 지적했습니다.
Let's Encrypt는 커뮤니티 발표에서 tlsserver 및 단기 구성을 사용하는 사용자가 이번 주부터 Y세대 수준에 따라 발급된 인증서를 받게 될 것이라고 밝혔습니다. 또한 이 스위치는 선택적 단기 수명 주기 인증서가 "일반적으로 사용 가능" 단계에 완전히 진입했으며 인증서에 IP 주소를 직접 포함하는 지원이 추가되어 일부 사용 시나리오에 대해 보다 유연한 배포 방법을 제공한다는 것을 의미합니다. Let’s Encrypt를 사용하는 웹 사이트 운영자 및 서비스 제공업체의 경우 보안이 강화되는 동시에 서비스 안정성이 영향을 받지 않도록 향후 몇 년 동안 더 빈번한 자동 갱신 프로세스에 점진적으로 적응해야 합니다.