Let's Encrypt는 보안 웹사이트를 위한 인증서의 수동 생성, 유효성 확인 등 복잡환 과정을 없애주는 자동화된 프로세스를 통해 전송 계층 보안 암호화를 위한 무료 X.509 인증서를 제공하는 인증 기관이다.
많은 오픈 소스가 Let's Encrypt SSL 인증서를 활용하여 서비스를 제공하고 있다.
나 또한 고객사 인프라 개발을 위해 이 인증서를 활용했다.
2021년 9월 30일 고객사에서 연락이 왔다.
몇몇 업체에서 크롬에서 접속이 안된다고 연락이 왔어요.
Not secure 하다는 메시지가 나오고 있습니다!
원인에 대해서 Let's Encrypt 공식 홈페이지에서 확인할 수 있었다.
Update September 30, 2021 As planned, the DST Root CA X3 cross-sign has expired, and we’re now using our own ISRG Root X1 for trust on almost all devices. For more details about the plan, keep reading! We have also updated our Production Chain Changes thread on our community forum - our team and community are here and ready to help with any questions you may have about this expiration.
DST Root CA X3, 루트 인증서가 2021년 9월에 만료된 것이다.
모든 클라이언트가 이런 문제를 겪은 것은 아니었다. 일반적으로는 아래와 같이 ISRG Root X1이 루트 인증서로 설정되어 있을 것이다.
하지만 일부 클라이언트들은 여전히 DST Root CA X3를 사용하고 있었고, 서비스를 제공하는 사이트에 접속할 수 없는 상황이었다.
왜 일부 클라이언트들에게만 이 이슈가 발생했을까?
나의 경우에 해당 클라이언트들은 모두 운영체제를 윈도우 10을 사용하고 있었고, 루트 인증서 자동 업데이트 기능을 사용하지 않았기 때문에 최신 Let's encrypt의 루트 인증서를 다운로드하지 않았다.
따라서 루트 인증서 자동업데이트 기능을 활성화시켜 주었고, 그 이후로는 서비스를 제공하는 사이트에 접속할 수 있게 되었다.
간혹 이 기능을 비활성상태로 두고싶은 클라이언트가 있을 수 있다.
이 경우에 인증서 다운받아 로컬 시스템에 직접 설치하면 될 것이다. 나의 경우는 그럴 필요가 없었지만 필요하다면 시도해보기를...
참고로 AWS EC2 인스턴스에서 관련 에러때문에 고생하고 있다면 아래 내용이 도움될 것이다.
https://aws.amazon.com/ko/premiumsupport/knowledge-center/ec2-expired-certificate/
출처
- https://aws.amazon.com/ko/premiumsupport/knowledge-center/ec2-expired-certificate/
- https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
- https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/#windows-pcs