TLS 인증서 유효기간이 47일로 줄어든다? — 왜 줄고, 어떻게 대비해야 할까
인증서 관리의 새로운 전환점이 온다
“한 번 발급하면 1년 가까이 쓸 수 있던 TLS 인증서가 이제는 두 달도 채 안 되는 기간만 유효하다면?”
들었을 때 당황스러울 수 있습니다. 하지만 2025년 4월, CA/Browser 포럼에서 TLS 인증서 유효기간 단축을 공식적으로 의결하면서 이 변화는 현실이 되었습니다.
2029년까지 단계적으로 시행될 이 정책에 따르면, 인증서 유효기간은 최종적으로 47일까지 단축되며, 이로 인해 자동화는 선택이 아닌 필수가 됩니다.
이번 블로그에서는 이 변화의 배경, 세부 일정, 기업과 개발자가 준비해야 할 사항, 그리고 인증서 수명 주기를 자동화할 수 있는 현실적인 방법까지 자세히 다루어 보겠습니다.
📉 유효기간 398일 → 47일, 단계별 스케줄 정리
새로운 유효기간 적용 일정
| 적용 시기 | 최대 TLS 인증서 유효기간 |
| ~2026년 3월 15일 | 398일 |
| 2026년 3월 15일~ | 200일 |
| 2027년 3월 15일~ | 100일 |
| 2029년 3월 15일~ | 47일 |
유효기간 단축은 단순히 날짜 문제를 넘어, 수동 갱신 방식으로는 인증서 운영이 불가능해진다는 걸 의미합니다.
도메인 검증 정보 재사용 기한도 대폭 축소
| 적용 시기 | 최대 검증 정보 재사용 기간 |
| ~2026년 3월 15일 | 398일 |
| 2026년 3월 15일~ | 200일 |
| 2027년 3월 15일~ | 100일 |
| 2029년 3월 15일~ | 10일 |
이 변경은 도메인 및 IP뿐 아니라 OV(조직 인증) 및 EV(확장 인증) 인증서에 포함되는 **SII(주체 식별 정보)**에도 적용됩니다.
❓ 왜 47일일까? 숫자에 숨겨진 의미
47일이라는 숫자는 겉보기에 임의로 보일 수 있지만, 실제로는 일정한 월 단위 계산 방식에서 나온 값입니다:
- 31일(최대 한 달) + 15일(30일 기준 반달) + 1일 여유
- 총 47일
즉, 최소 단위로도 안전하게 관리 가능하도록 설계된 계산 방식입니다.
🍎 Apple과 Google의 합의, 그리고 자동화의 필요성
이 제안은 Apple에서 처음 공식화했고, Google이 즉시 지지하면서 빠르게 통과되었습니다.
Apple은 다음과 같은 주장을 강조했습니다:
- 자동화는 이미 필수사항이다. 수작업 방식은 더 이상 현실적인 인증서 관리 방식이 아니다.
- 짧은 유효기간은 보안성을 높인다. 인증서에 포함된 정보는 시간이 지나며 신뢰성이 떨어지며, 갱신 주기가 짧을수록 리스크를 줄일 수 있다.
- CRL/OCSP 기반 폐지 시스템은 신뢰할 수 없다. 브라우저들이 이를 무시하는 경우가 많아, 유효기간 단축이 더 현실적인 대안이 된다.
🔁 인증서 자동화, 어떻게 시작해야 할까?
이제 중요한 건 인증서 자동화 체계를 갖추는 일입니다. 대표적인 솔루션으로는 DigiCert의 CertCentral과 Trust Lifecycle Manager가 있습니다.
특히 ACME 프로토콜을 활용하면 DV, OV, EV 인증서 모두 자동으로 갱신할 수 있으며, 최근에는 **ACME Renewal Information (ARI)**까지 지원돼 전체 갱신 흐름을 손쉽게 자동화할 수 있습니다.
예시: ACME 기반 인증서 자동 갱신 흐름
# Certbot 예제 (DV 인증서 자동화용)
sudo certbot --nginx -d example.com -d www.example.com
이처럼 설정만 마치면 인증서 발급부터 갱신까지 모두 자동으로 이루어지며, 47일 주기 갱신도 문제없이 수행할 수 있습니다.
TLS 인증서의 유효기간이 47일로 줄어드는 변화는, 단순한 규칙 변경이 아닙니다.
인증서 수명 주기 전반을 자동화하는 방향으로 패러다임이 완전히 바뀌고 있다는 신호입니다.
✅ 주요 요약:
- 2029년부터 TLS 인증서 유효기간은 47일로 줄어듭니다.
- 도메인 검증 정보 재사용 기간도 10일로 축소됩니다.
- 인증서 자동화는 필수가 되며, 수동 갱신 방식은 더 이상 실현 가능하지 않습니다.
- DigiCert 등 주요 인증기관은 이미 다양한 자동화 도구를 제공하고 있으며, 지금부터 대비가 필요합니다.
🔍 이제 중요한 건 기술적 준비입니다.
당신의 조직은 인증서 자동화에 얼마나 준비되어 있나요?
https://www.digicert.com/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days
TLS Certificate Lifetimes Will Officially Reduce to 47 Days
The CA/Browser Forum has officially voted to amend the TLS Baseline Requirements to set a schedule for shortening both the lifetime of TLS certificates.
www.digicert.com
