렛츠인크립트(Let’s Encrypt)가 향후 발행할 인증서에 대해 인증서 체인 쇄신, TLS 클라이언트 인증 EKU 삭제, 인증서 유효 기간 단축을 순차 진행한다는 전체 방침 세부 내용을 발표했다. 다만 대다수 이용자는 기본적으로 추가 대응이 불필요하다고 밝혔다.
먼저 CA/B 포럼 요건 변경에 따라 인증서 유효 기간이 단축된다. 구체적으로 2026년에는 tlsserver 프로파일에서 45일 인증서를 옵트인 방식으로 이용할 수 있게 되며 인증서 기본 유효 기간이 2027년에는 64일로 2028년에는 45일로 단축될 예정이다.
그리고 인증서 체인은 기존 Generation X에서 새로운 루트 인증 기관 2개와 중간 인증 기관 6개로 구성된 Generation Y로 전환된다.
이 Generation Y 인증서는 Generation X 루트 인증 기관으로부터 교차 서명되어 있어 현행 환경에서도 계속 작동하도록 설계됐다고 한다. 대다수 이용자가 사용하는 기본 classic 프로파일은 2026년 5월 13일 Generation Y로 전환된다. 또 Generation Y의 중간 인증서에는 TLS 클라이언트 인증 EKU가 포함되지 않는다. TLS 클라이언트 인증용 EKU를 포함한 인증서 제공은 2026년 2월부터 종료를 향한 움직임이 시작되며 Generation Y로의 전환과 비슷한 시기에 겹칠 예정이다. 호환성 문제가 발생하거나 전환 유예가 필요한 경우 2026년 5월까지 tlsclient 프로파일을 이용할 수 있다. 이 tlsclient 프로파일은 계속해서 Generation X를 사용한다.
tlsserver 프로파일 또는 shortlived 프로파일로 인증서를 요청하는 경우 2025년 12월 셋째 주부터 Generation Y 유래 인증서가 발행되며 유효 기간 6일의 단기 인증서가 옵트인 방식으로 일반 제공된다. 또 도메인명 대신 IP 주소를 직접 지정해 접속하는 서버에 대해서도 인증서를 발행할 수 있게 된다고 한다.
렛츠인크립트 측은 변경 사항을 단계적으로 배포하기 위해 ACME 프로파일을 활용해 사용자가 이런 변경 사항 적용 시기를 제어할 수 있도록 했다며 사용자 대부분은 아무것도 할 필요가 없다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] 무협, ‘2026 세계경제통상 전망’ 발표‧인터엑스, 코스닥 상장 본격화](https://startuprecipe.co.kr/wp-content/uploads/2025/12/251217_interxlab.com_05025235-75x75.jpg)
