2029년 SSL/TLS 인증서 유효기간 47일 제한 및 ACME 자동화 필수 시대 도래

Context

Private Key 유출 시 대응을 위한 Certificate Revocation 매커니즘인 CRL과 OCSP의 구조적 결함으로 인해 실질적인 폐기 통제가 불가능한 상황임. 이에 따라 인증서 유효기간 자체를 단축하여 공격자의 Key 활용 가능 시간인 Blast Radius를 강제로 제한하는 전략 채택함.

Technical Solution

• CRL의 거대한 파일 크기로 인한 네트워크 오버헤드 및 OCSP의 Soft-fail 정책으로 인한 보안 취약점 해결을 위해 유효기간 단축 추진
• CA/Browser Forum의 SC-081v3 Ballot에 따른 단계적 유효기간 축소(200일 → 100일 → 47일) 적용
• 수동 갱신 불가능 지점 도달에 따른 ACME 프로토콜 기반의 Full Automation 아키텍처 전환 강제
• DCV(Domain Control Validation) 재사용 기간을 10일로 제한하여 인증 주기 밀도 강화
• Post-Quantum Cryptography 전환에 대비한 Crypto Agility 확보를 위해 인증서 교체 주기 단축 설계