피드로 돌아가기
Dev.toSecurity
원문 읽기
ARI 도입을 통한 Short-lived Certificate Rate Limit 극복 및 갱신 자동화
Let's Encrypt short-lived certificates are quite strict, so you should use an ARI-capable client
AI 요약
Context
유효기간 160시간의 Short-lived Certificate 도입으로 인한 갱신 빈도 급증 상황. 기존 90일 주기 대비 갱신 횟수가 증가하여 Let's Encrypt의 발급 제한(Rate Limit)에 쉽게 도달하는 아키텍처적 한계 발생.
Technical Solution
- ARI(ACME Renewal Information) 메커니즘을 통한 CA-Client 간 직접적인 갱신 시점 통신 구조 설계
- ARI 기반 갱신 요청 시 모든 Rate Limit 면제 혜택을 활용한 가용성 확보
- RSA와 ECDSA 이중 인증서 운용 시 발생하는 발급 횟수 2배 증가 문제를 ARI 면제 로직으로 해결
lego클라이언트의--profile shortlived및--dynamic옵션을 통한 동적 갱신 파이프라인 구축- Production 적용 전 Staging 환경의 느슨한 제한 설정을 활용한 갱신 주기 및 도메인 분할 전략 검증
- ACME protocol 수준의
renewalInfo필드 활용으로 인증서 확장 없이 갱신 최적화 달성
실천 포인트
1. Short-lived 인증서 도입 시 ARI 지원 여부를 확인한 ACME Client(예: lego) 선정
2. RSA/ECDSA 병행 사용 시 발급 쿼터 소모량이 2배임을 인지하고 ARI 적용 필수 검토
3. Production 배포 전 Staging 서버를 통한 Rate Limit 임계치 사전 테스트 수행
4. 160시간의 짧은 유효기간으로 인한 기존 모니터링 툴의 False Positive 알람 발생 가능성 확인