Let's Encrypt 인증서 변경에 ELS 수정 사용 가능

Let's Encrypt는 다양한 애플리케이션에서 인증서를 획득하고 TLS 암호화를 구현할 수 있는 실용적인 방법입니다. 발급된 인증서 수로 보면 세계에서 가장 큰 인증 기관(CA)입니다. 또한 편리한 갱신 메커니즘으로 인해 자동화 시나리오에서 널리 사용됩니다.

최근 Let's Encrypt 기본 인증 체인의 루트 인증서 만료(2021년 9월 30일)로 인해 이전 OpenSSL 버전에서 심각한 문제가 발생합니다. 그러나 Centos 6/Oracle Linux 6/CloudLinux 6에 있는 OpenSSL 버전에 대한 패치는 이미 사용 가능하므로 영향을 받는 모든 시스템에 가능한 한 빨리 배포해야 합니다.

Let's Encrypt 인증 체인에서 만료된 루트 인증서(DST 루트 CA X3)는 2024년까지 체인에 남아있을 것입니다. 최신 버전의 OpenSSL은 만료된 인증서를 올바르게 무시하고 체인에 있는 대체 인증서를 사용하여 유효성을 검사하지만 이전 버전의 OpenSSL은 확인에 실패합니다. 이로 인해 TLS 연결이 실패하지 않아야 할 때 실패하므로 심각한 문제가 발생합니다. 안타깝게도 "certbot" 유틸리티 자체는 기본적으로 체인을 업데이트하고 Let's Encrypt 인증서를 갱신하지 못합니다(이 문제를 해결할 수 있음).

이 문제는 여러 Linux 배포 및 그 버전에 영향을 주지만 Lifecycle 연장 지원의 적용을 받는 버전에는 이미 이 문제를 해결하는 OpenSSL 패치가 있습니다. 이 문제를 해결하는 방법은 기본적으로 OpenSSL에서 X509_V_FLAG_TRUSTED_FIRST 플래그를 활성화하는 것입니다. 이는 기본적으로 유효성 검사가 "나쁜"(읽기: 만료된) 인증서를 발견했을 때 실패하지 않고 "좋은" 인증서를 사용할 수 있을 때 먼저 시도해야 함을 의미합니다. 이 방법으로 문제를 해결하면 향후에 다른 인증서가 만료될 때 Let's Encrypt 또는 다른 인증 체인에서 유사한 이벤트가 발생하는 것을 방지할 수 있습니다.

OpenSSL의 근본적인 문제를 해결하지 않고 단순히 현재 문제를 우회하는 다른 방법으로 문제를 해결하려는 경우, 다음과 같이 "certbot"을 실행할 수 있습니다:

인증봇 갱신 -드라이-런 -선호 체인 "ISRG 루트 X1"

또는 /등/letsencrypt/갱신/에 다음을 추가합니다.

preferred_chain = ISRG 루트 X1

이렇게 하면 인증봇이 만료된 루트 인증서가 포함된 인증 체인을 무시하고 인증서를 가져올 수 있습니다. 그러나 다시 말하지만, 이것은 OpenSSL이 진행되어야 하는 상황에서 실패하는 문제를 해결하지 못하므로 향후 루트 또는 중간 인증서가 만료되는 이벤트(Let's Encrypt 관련 또는 다른 인증 체인에서)가 계속 문제를 일으킬 것입니다.