결제일이 아니라 발급 완료일이 기준입니다

SSL 인증서 유효기간 단축이 본격화되면서, 인터넷에는 “3월 15일 이전에 결제하면 기존 1년짜리를 받을 수 있다”는 글이 많이 돌았습니다. 직접 확인해봤더니 이건 틀렸습니다.

핵심은 간단합니다. 결제일과 상관없이, 발급 완료 시점에 적용되는 정책이 따라붙습니다. 1년 전에 결제한 인증서도 지금 재발급을 요청하면 199일짜리가 나옵니다. 계약 기간은 그대로 유지되지만, 한 번에 받을 수 있는 유효기간이 짧아진 것입니다.

예를 들어 1년 상품을 구매했다면 — 1차 발급 199일, 잔여기간 계산 후 2차 발급. 총 계약 기간은 365일이 유지되지만 두 번에 나눠 받게 됩니다. 연간 갱신 한 번으로 끝나던 시대가 끝난 것입니다.

▲ 목차로 돌아가기

단계별 축소 로드맵 — 갱신 횟수로 계산하면 실감납니다

CA/B Forum이 확정한 단계별 일정을 갱신 횟수로 환산해보면, 왜 자동화가 필수인지 바로 느껴집니다. (출처: CA/B Forum Ballot SC-081, 2025년 4월 11일 가결)

2029년이 되면 연간 약 8회 갱신이 필요합니다. 평균 한 달 반에 한 번 수작업으로 갱신해야 한다면, 도메인이 10개만 넘어도 한 달에 여러 번 인증서를 교체하는 상황이 됩니다.

특히 2029년에는 도메인 검증 정보 재사용 기간이 10일로 줄어듭니다. 10일이 지나면 도메인 소유권 검증을 새로 받아야 한다는 뜻입니다. 수동으로는 사실상 불가능한 주기입니다.

▲ 목차로 돌아가기

이미 발급된 인증서는 어떻게 되나요

가장 많이 받는 질문 중 하나입니다. 결론부터 말씀드리면 — 3월 15일 이전에 정상 발급 완료된 398일짜리 인증서는 만료일까지 그대로 유효합니다.

새 규칙은 CA가 발급하는 인증서에 적용되는 것이지, 브라우저가 받아들이는 기준이 달라지는 게 아닙니다. 브라우저는 “현재 날짜가 인증서 유효기간 범위 안에 있는가”만 봅니다. 그래서 3월 15일 이후에도 기존 398일 인증서는 만료될 때까지 정상 작동합니다. (출처: DigiCert 공식 블로그, 2025.05.16)

만료일이 많이 남아 있더라도 재발급 시점에 새 정책이 적용된다는 점, 꼭 기억해두세요.

▲ 목차로 돌아가기

OV·EV 인증서는 DV와 다른 점이 있습니다

기업 검증 정보 재사용 기간도 달라집니다

DV(도메인 검증) 인증서는 도메인 소유권만 확인하면 되지만, OV(기업 검증)·EV(확장 검증) 인증서는 회사명, 주소 같은 기업 정보까지 포함됩니다. 이 기업 정보의 재사용 기간도 이번에 바뀝니다.

2026년 3월 15일부터 OV·EV 인증서의 SII(Subject Identity Information, 기업 신원 정보) 재사용 기간이 기존 825일에서 398일로 단축됩니다. 쉽게 말하면, 약 2년에 한 번씩 인증기관 담당자와 통화 등을 통해 기업 정보를 재검증해야 합니다. (출처: DigiCert 공식 FAQ, 2025)

도메인 유효기간(200일→100일→47일)은 DV와 동일하게 적용됩니다. 결국 OV·EV 인증서는 도메인 검증은 자동화하되, 기업 정보 갱신은 반년마다 담당자에게 연락해야 하는 구조가 됩니다. 관리 체계를 미리 정리해두지 않으면 인증서 발급이 늦어지는 병목이 생길 수 있습니다.

▲ 목차로 돌아가기

자동화 없이 버틸 수 있는 마지막 시점이 가까워졌습니다

200일이라면 수동 관리가 아직 가능합니다 — 100일부터는 달라집니다

솔직히 말하면, 지금 당장 200일짜리 인증서를 수동으로 관리하는 게 불가능한 건 아닙니다. 6~7개월에 한 번 갱신하면 되니까요. 하지만 2027년 3월부터는 100일이 됩니다. 한 분기마다 갱신해야 합니다.

도메인이 10개면 분기에 10번의 작업, 도메인이 50개면 분기에 50번입니다. 담당자가 한 명이라면 반나절이 인증서 갱신으로 사라집니다. 2029년에 47일이 되면, 그냥 사람이 따라가는 게 물리적으로 안 됩니다.

주요 인증기관들은 ACME 자동화에 추가 비용을 부과하지 않습니다. DigiCert CertCentral 기준으로 연간 구독에 이미 포함되어 있고, Let’s Encrypt는 아예 무료입니다. (출처: DigiCert 공식 FAQ, 2025)

막상 해보면 생각보다 단순합니다. 리눅스 서버라면 Certbot 설치 후 cron 설정, 윈도우 서버는 win-acme 설치가 각각 30분 안에 끝납니다. 공식 문서가 잘 갖춰져 있어 처음 하는 분들도 따라갈 수 있습니다.

▲ 목차로 돌아가기

내부 PKI를 쓰는 조직은 이 규정에서 제외됩니다

공개 CA 규정이라는 점 — 내부 인증서에는 적용되지 않습니다

이번 규정 변경은 CA/B Forum의 Baseline Requirements가 적용되는 공개 인증기관(Public CA)에만 구속력이 있습니다. 기업 내부 네트워크에서만 쓰는 프라이빗 PKI를 운영 중이라면, 유효기간 200일 제한을 따를 의무가 없습니다.

단, 내부 PKI도 루트·중간 인증서 관리가 복잡합니다. 2024년에 Google Chromecast에서 중간 CA 인증서가 만료되면서 대규모 서비스 장애가 발생한 사례가 있습니다. 내부 PKI를 선택했다면 루트·중간 인증서의 만료일 관리를 별도로 해야 합니다.

현재 많은 도메인을 운영 중이라면, 공개 서비스용 공개 CA 인증서는 ACME로 자동화하고, 내부 시스템 인증서는 내부 PKI로 분리 관리하는 투트랙 구조가 현실적입니다.

▲ 목차로 돌아가기

Q&A 5가지

▲ 목차로 돌아가기

마치며

SSL 인증서 유효기간 단축은 “보안을 강화하려는 글로벌 흐름”이라는 말로 종종 정리됩니다. 틀린 말은 아닙니다. 하지만 막상 실무에서는 “결제일이 아닌 발급일 기준”이라는 작은 디테일이 실수를 만들고, “OV 인증서는 기업 정보 갱신을 완전 자동화할 수 없다”는 점을 모르면 발급 병목이 생깁니다.

지금 당장 도메인이 3개 이하라면 수동 관리가 아직 버텨질 수 있습니다. 하지만 2027년에 100일이 되는 시점부터는 자동화 없이 유지하기 어렵습니다. 가장 좋은 타이밍은 지금 여유 있을 때 설정해두는 것입니다.

DV 인증서라면 Let’s Encrypt + Certbot 조합이 가장 빠릅니다. OV·EV 인증서라면 인증기관의 ACME 지원 여부를 먼저 확인하고, 기업 정보 갱신 담당자를 지금 지정해두는 걸 권합니다. 준비하는 데 시간이 많이 드는 작업은 아닙니다.

▲ 목차로 돌아가기

📎 본 포스팅 참고 자료

1. DigiCert 공식 블로그 — TLS Certificate Lifetimes Will Officially Reduce to 47 Days (2025.05.16)
   
   https://www.digicert.com/kr/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days
2. 한국전자인증(CrossCert) 공식 공지 — SSL/TLS 인증서 유효기간 단축 확정
   
   https://cert.crosscert.com/
3. 코리아SSL 공식 공지 — SSL/TLS 인증서 유효기간 199일 단축 정책 시행 안내
   
   https://www.koreassl.com/support/notice/
4. Certbot 공식 사이트 (EFF)
   
   https://certbot.eff.org/