Let's Encrypt, IP 주소 인증서 발급 준비 중

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

보안

대상자

SSL/TLS 인증서 관리자, 시스템 엔지니어, DevOps 개발자

• 중급 이상의 기술 이해도 필요

핵심 요약

• Let's Encrypt가 IP 주소 SAN(SAN)을 포함한 인증서 발급을 지원 예정이며, 6일 유효기간의 shortlived 프로필로 제공됨
• 초기에는 허용 리스트(allowlist) 방식으로 제한 운영되며, 스테이징 환경에서 IPv6 기반 샘플 인증서 공개됨
• Firefox에서 IP SAN 표시 버그(BZ #1973855) 및 DNS SAN과 IP SAN 혼용 시 브라우저 표기 혼동 문제가 확인됨

섹션별 세부 요약

1. IP SAN 인증서 지원 계획

• 6일 유효기간의 shortlived 프로필로만 발급되며, 정식 출시 전까지 허용 리스트(allowlist) 방식으로 제한 운영
• 스테이징 환경에서 IPv6 주소 포함 샘플 인증서와 실제 적용 사이트 공개
• 커뮤니티 피드백 요청 및 테스트 과정에서 DNS SAN과 IP SAN 혼용 시 브라우저 표기 혼동 사례 시연

2. 현재 테스트 및 제한 사항

• IPv6 주소와 .cafe 등 TLD 표기 유사성으로 인한 혼동 가능성 확인
• Firefox의 IP SAN 표시 버그(BZ #1973855)가 테스트에 영향
• DNS 챌린지 방식으로 IP SAN 인증서 발급 불가 (IP 주소 소유자 인증 필요)

3. 보안 및 기술적 고려사항

• 사설 IP(예: 192.168.x.x)는 인증서 발급 불가능 (독점 소유권 보장 불가)
• 공인 IP 소유자만 인증서 발급 가능 (개인키 유출 가능성 대비)
• 내부망에서의 인증서 사용은 자체 CA 구축 또는 도메인 기반 TLS 인증서 활용 권장

4. 실무적 활용 및 제안

• ECH/ESNI 지원 시 IP 인증서 도입으로 프라이버시 보호 강화 기대
• 로컬 라우터 HTTPS 접속은 공인 IPv4/IPv6 주소 기반에서만 가능
• 내부망 테스트 환경에서는 도메인 포워딩 + 진짜 인증서 발급 방식 활용 가능

결론

• IP SAN 인증서 도입 시 브라우저 호환성 및 혼동 문제 해결을 위해 커뮤니티 피드백과 테스트 환경 확대가 필수적
• 6일 유효기간의 shortlived 프로필은 단기 테스트 및 ECH/ESNI 지원에 적합
• 공인 IP 소유자만 인증서 발급 가능이며, 내부망 사용 시 자체 CA 구축 또는 도메인 기반 인증서 활용 권장