2025년에 돌았던 헤드라인은 “47일 인증서”였다. 받아 마땅한 패닉을 일으켰지만, 그 패닉은 대부분 엉뚱한 연도와 엉뚱한 숫자를 향했다.
47일 한도는 2029년 3월 15일에야 도착한다. 다들 이 부분을 받아 적었다. 거의 아무도 언급하지 않은 부분은 이거다 — 첫 번째 단축은 이미 일어났다. 2026년 3월 15일부터, 공개 신뢰 CA는 유효기간 200일을 넘는 TLS 인증서를 발급할 수 없다. 올봄에 발급받은 인증서가 기억보다 짧게 돌아왔다면, CA가 인색했던 게 아니다. 새 규칙이고, 이미 시행 중이다.
그러니 2029년을 논하기 전에 던질 만한 질문 하나. 3월에 당신의 갱신이 깨졌는가? 아니라면, 아마 이미 자동화해 뒀기 때문이다. “잘 모르겠다”라면, 그게 바로 이 변화 전체의 진짜 이야기다.
실제로 통과된 것
사람들이 “47일 규칙”이라 부르는 건 SC-081v3 안건이다. Apple이 제안하고 CA/Browser Forum이 2025년 4월 11일에 통과시켰다. 숫자보다 표결이 더 흥미롭다.
브라우저 — Certificate Consumers — 는 4대 0 찬성이었다. Apple, Google, Microsoft, Mozilla. 만장일치. CA — Certificate Issuers, 더 긴 인증서를 파는 게 사업의 전부인 회사들 — 는 찬성 25, 반대 0, 기권 5(Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA)였다.
다시 읽어 보자. 더 나쁜 상품을 팔라고 요구받은 회사들이 찬성하거나 비켜섰다. 반대표는 한 장도 없었다. 이건 합의가 아니라 레버리지다. CA의 루트 인증서는 브라우저 신뢰 저장소에 들어 있어야만 가치가 있고, 그 브라우저들이 만장일치로 찬성했다. 유통 채널이 당신 제품 로드맵을 표결하면, 거부권은 없다. 브라우저가 PKI 정책을 굴리고, CA는 이미 자기들 대신 내려진 결정을 추인한 셈이다.
뜬금없이 나온 것도 아니다. Google은 “Moving Forward, Together” 로드맵에서 최대 90일을 띄웠다. Apple의 2024년 10월 첫 초안은 더 나갔다 — 2027년까지 45일. 최종 타협안이 일정을 늘리고 47로 반올림했을 뿐, 방향은 한 번도 흔들린 적이 없다.
아무도 외우지 않는 일정표
전체는 이렇다. 왼쪽이 유효기간:
- 현재 → 2026년 3월 15일: 398일 (기존 한도)
- 2026년 3월 15일: 200일 ← 지금 여기
- 2027년 3월 15일: 100일
- 2029년 3월 15일: 47일
이 한 칸만 추적하면 엉뚱한 마감을 준비하게 된다. 두 번째 칸이 있고, 진짜 아픈 건 그쪽이기 때문이다.
실제로 물어뜯는 숫자: 10일
모든 인증서는 도메인 검증(domain control validation)으로 시작한다. 보통 ACME 챌린지에 응답해 그 이름을 실제로 통제한다는 걸 CA에 증명한다. 한 번 증명하면 CA는 한동안 그 증명을 재사용해 재검증 없이 추가 인증서를 발급할 수 있다. 이 재사용 창에도 SC-081v3의 자체 일정이 있는데, 유효기간보다 더 가파르게 무너진다:
- 2026년 3월 15일: 200일
- 2027년 3월 15일: 100일
- 2029년 3월 15일: 10일
10일이다. 2029년이면 도메인 소유 증명이 열흘 반이면 상한다. 47일 인증서가 아니라 이게, 수동 인증서 관리를 영원히 끝내는 선이다.
이유를 생각해 보자. 47일 인증서는 자학을 즐긴다면 1년에 아홉 번 손으로 갱신할 수 있긴 하다. 하지만 10일짜리 검증 창은 인가 단계 — DNS 레코드, HTTP 토큰, 예전엔 사람이 한 번 하고 잊던 그것 — 까지 거의 매주 일어나야 한다는 뜻이다. 주간 재검증 루프를 달력 알림과 휴가 갔을지도 모를 담당자에게 맡길 수는 없다. 재사용 시계가 바로, 끝단의 갱신뿐 아니라 파이프라인 전체를 기계로 만들도록 강제하는 장치다.
유효기간 숫자가 헤드라인을 먹었다. 진짜 강제력은 재사용 숫자에 있다.
애초에 향하던 곳
이 흐름의 종착점을 보고 싶다면, 가장 자동화가 잘 된 CA가 이미 어디 와 있는지를 보면 된다. 2026년 1월, Let’s Encrypt는 6일짜리 인증서를 정식 출시했다 — 160시간, ACME 클라이언트에서 선택하는 “shortlived” 프로파일 — 맨 IP 주소용 인증서와 함께. 47일은 목적지가 아니다. 경유지다. 목적지는 며칠만 살고, 당신이 한 번도 신경 쓰지 않는 소프트웨어가 갈아 끼우는 인증서다. DHCP 임대가 이메일 한 통 없이 갱신되는 것처럼.
솔직히 말하면? 짧은 게 낫다. 업계가 인정하기 싫어하는 이유 때문에 — 인증서 폐기(revocation)는 고장 나 있다. CRL은 너무 크고 OCSP는 너무 새고 브라우저는 둘 다 soft-fail한다. 그래서 탈취된 인증서는 만료될 때까지 위험하게 남는다. 폐기가 제대로 작동하지 않는다면, 유출된 키의 피해를 줄이는 유일하게 믿을 만한 방법은 모든 인증서를 곧 만료시키는 것이다. 짧은 수명이 곧 폐기 메커니즘이다. 실제로 작동하는 유일한 그것.
당신이 실제로 하는 거래
공짜라고 팔 생각은 없다. 공짜가 아니다.
인증서가 1년을 살 땐 CA가 하루 망쳐도 당신은 몰랐다. 47일 — 혹은 6일 — 을 살면, 당신의 자동화와 CA의 가용성이 가동 시간을 떠받치는 부품이 된다. 깨진 ACME 클라이언트, 만료된 API 자격증명, 갱신 창에 겹친 CA 장애 — 이제 그 어느 것이든 실제 트래픽 위의 진짜 인증서를 만료시킨다. 우리는 오래 살고 폐기하기 어려운 낡은 인증서의 위험을, 부서지기 쉬운 자동화와 매주 작동해야 하는 발급 인프라에 대한 강한 의존이라는 위험과 맞바꾸고 있다.
좋은 거래다. 그래도 거래는 거래고, 아니라고 우기는 사람이 새벽 2시에 놀란다.
인증서는 1년에 한 번 철하는 문서이길 멈추고 심장박동이 됐다. 당신 스택의 무언가가 아직 그걸 서류 취급한다면, 2029년 3월까지 고칠 시간이 있다 — 다만 첫 번째 단축은 이미 떨어졌고, 시계는 여기서부터 빨라지기만 한다.