CloudFlare의 Digicert기반 인증서 SSL제공 종료

카테고리 : 소개/IT 상식

CloudFlare의 인증서 중 발급자가 'Cloudflare Inc ECC CA-3'로 되어있는 인증서가 이제 종료됩니다.

Cloudflare Inc ECC CA-3 종료됨.

최근 크롬과 엣지등 에서 인증서 화면이 바뀌었는데 예전의 윈도우 기본 인증서 화면이 더 보기 편한듯 합니다.
일단 필요한 정보가 한눈에 보이니..

 

 

 

앞으로 Cloudflare Inc ECC CA-3의 인증서 발급 종료?

Q. 그럼 클라우드플레어(Cloudflare)의 SSL무료발급은 종료되는가?
A. 아니요.

 

SSL무료발급은 계속되는데 앞으로는 'Let’s Encrypt SSL'과 'Google Trust Services'에서 제공하는 90일짜리 무료인증서로 발급됩니다.

(이미 신규등록된 도메인과 DNS정보는 프록시를 활성화 하여도 'Let’s Encrypt'와 'Google Trust Services'로 발급됩니다.)

 

이제는 SSL을 'Let’s Encrypt'와 'Google Trust Services' 두개 모두 받아두는걸로 알고있는데, 만약 두개중 한개의 서비스에서 문제(보안문제 등)가 발생한 경우 하나의 인증서를 제거하고, Cloudflare를 이용하는 모든 사이트에 대체(백업) 인증서로 적용하도록 바뀐다고 알고 있습니다.

 

현재 대시보드상에 특정 SSL을 선택할 수 있도록 설정은 없지만 대시보드API를 이용하면 발급시 Let’s Encrypt(기본)가 아닌 Google Trust Services(GTS)인증서를 이용할수도 있습니다.

 

Google Trust Services인증서는 흔히 Google의 서비스인 firebase에 hosting서비스를 외부도메인(내가 보유한)으로 이용하는 경우 인증서를 제공했었는데 타 서비스에도 제공하는지는 이번에 알게 되었습니다.

 

 

클라우드 플레어 API로 선호 인증기관 설정하기

PATCH https://api.cloudflare.com/client/v4/zones/[DOMAIN_ZONE_ID_HERE]/ssl/universal/settings

Header
    X-Auth-Email: [CLOUDFLARE_EMAIL_HERE]
    X-Auth-Key: [GLOBAL_API_KEY_HERE]
    Content-Type: application/json
    
Body
	{"certificate_authority":"google"}

HTTP GET으로 Body없이 요청하면 저장된 결과를 불러올 수 있고,

HTTP PATCH로 Body를 포함하여 보내면 업데이트 가능합니다.

 

선호 인증기관은 [digicert, google, lets_encrypt] 중에서 선택가능합니다.

예를들어 letsencrypt를 선호기관으로 사용하려면 아래와 같이 가능합니다.

{"certificate_authority":"lets_encrypt"}

digicert는 만료 예정이기 때문에 권장드리지 않습니다. 이후에 sectigo도 추가될 수 있으나, 아직 안내는 없는것으로 보입니다.

기존 digicert인증서가 2025년 까지는 최고로 호환성이 좋을것으로 예상되어 digicert를 선호로 쓰셔도 될것 같긴합니다.
그 다음은 google(2022 ~ 2027까지 최고호환), sectigo(2025 ~ 2031까지 최고호환), letsencrypt(2026 이후 호환이 좋아질것으로 보여 letsencrypt의 시기가 조금 부적절합니다.) 순 입니다.

저는 아마 digicert나 google을 25년까지 설정하다가, sectigo인증서로 갈 것 같습니다.
sectigo인증서는 기존 digicert인증서와 동일하게 1년 인증서로 발급됩니다.

 

값 확인 위치

  • [DOMAIN_ZONE_ID_HERE]: 대시보드에 웹사이트별로 있습니다. (대시보드 - 도메인(클릭) - 개요 - API - 영역 ID)
  • [CLOUDFLARE_EMAIL_HERE]: 가입한 이메일 아이디입니다.
  • [GLOBAL_API_KEY_HERE]: https://dash.cloudflare.com/profile/api-tokens 에서 (API 키 - Global API Key)

 

 

저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)

예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.

만약, 본문 공유를 원하신다면 링크 공유를 해주세요

저작권 정책 확인하기
링크 공유하기

 댓글