SSL 인증서 갱신 문제 왜 그런가?

인증서(SSL/TLS)의 역사는 1995년부터 2021년 기준 26~27년 정도 됐습니다.

 

아래 사진은 예시로 가져온 *.google.com, *.tistory.com의 인증서입니다.

google.com, tistory.com의 인증서

1. 루트 인증서로 보통 장기간(20~30년간) 인증합니다.
2. 중간 인증서로 보통 5~15년 인증합니다.
3. 서버 인증서로 보통 30일~1년간 인증합니다.

*서버인증서는 2년도 됐으나 2020-09-01부터 사파리의 2년 인증서 제한으로 1년 인증서로 대체되었습니다.

 

 

갱신 문제는 왜?

1. 루트 인증서가 처음 나오고 지금까지 30년이 안됐으니 아직 한 번도 만료 안된 경우가 대다수이다.
2. 자주 있는 일이 아니라 많이 대비하지 않았다.
3. 윈도우에서 인증서 업데이트만 안된다?
4. 사용자가 업데이트를 하지 않아서 ← 이 경우는 명백한 사용자의 문제

 

여기서 주목할일은 ③윈도우에서 인증서가 업데이트 안 되는 경우입니다.

원래 인증서는 직접 갱신할 필요없이 윈도우에서 기본적으로 업데이트합니다.

알 수 없는 이유로 업데이트가 막혀있는 PC가 상당히 많이 있는데 원인은 잘 모르겠습니다.

 

윈도우의 초기값은 아예 값이 없어 막혀있지 않은데, 상당히 많은 사람이 이 문제로 인증서 갱신이 안되어 문제를 겪더라고요.

firefox브라우저를 이용한다면 윈도우 인증서가 아닌 자체적으로 인증서를 관리하기 때문에 인증서 관련 문제가 있을 때도 이용할 수 있습니다.

 

DisableRootAutoUpdate가 설정되어있는 이유로는 무엇이 있을지 저도 잘 모르겠습니다.

사용자가 굳이 변경할 이유없는 값이라서 그나마 찍어보자면 이런게 아닐지..

1. 윈도우 초기 설치 파일의 설정 문제?
2. 윈도우 마이그레이션(7->10) 등에서 기본값 설정 문제?
3. 특정 소프트웨어의 값 변경? (혹시 은행 보안 프로그램 같은 게 문제의 설정을 하나..?)
4. 컴퓨터 판매자가 AS수익을 위해 변경? (이라기엔 이걸 모르는 종사자가 많았다. 2020년 이전 기준)

3, 4번 이라기엔 해외에서도 같은 문제가 꽤 있다.

 

혹시 Microsoft에 계신 분이 있으시다면 윈도우에 원래 이런 문제가 있는지 확인을 부탁드리겠습니다.

또는 문제의 설정을 하는 프로그램을 알고계시다면, 댓글로 제보해주세요.

 

20년 5월 30일, 21년 9월 30일 오류를 겪고 나니 SSL루트 또는 중간 인증서의 만료일(또는 교체시기)이 임박하면 이용자 중 일부가 접속을 못할 수 있으니 다른 곳으로 옮겨두는 게 서비스 운영 측면에서 좋을 것 같더라고요.