인터넷 환경에서 HTTP 방식의 웹서비스는 데이터를 평문으로 주고받기 때문에 보안이 취약하다. 반면 현재 확산 추세인 HTTPS 방식은 전송보안계층(TLS) 암호화를 적용해 상대적으로 안전하다.
문제는 HTTPS 접속을 지원하지 않는 웹서비스가 여전히 많다는 점이다. 암호화통신을 구현하기 위해선 돈이 들기 때문이다. 운영자가 웹서버에 'TLS인증서'라 불리는 파일을 설치해야 하는데, 인증서 발급서비스를 하는 업체에서 이걸 구매하고 정기적으로 갱신(재구매)해야 한다.
그런데 웹 관련 단체, 글로벌 보안전문회사, 브라우저 제조사가 후원하는 렛츠인크립트(Let's Encrypt)라는 TLS인증서 무료 발급 프로젝트가 이런 상황을 바꾸고 있다. 렛츠인크립트는 비영리조직 인터넷시큐리티리서치그룹(ISRG)에서 2015년 9월부터 운영하기 시작했다.
렛츠인크립트의 무료 TLS인증서는 유료 인증서 대비 적용 도메인 범위가 제한되고 갱신 주기가 짧은 게 단점이다. 하지만 이는 공짜로 쓸 수 있다는 장점으로 상쇄된다. 스마일서브같은 한국 호스팅회사는 그 인증서를 최초 발급 후 자동 갱신을 지원하는 편의를 제공하기도 한다.
렛츠인크립트는 지난달(6월) 28일 TLS인증서를 누적 1억건 발급했다고 밝혔다. 인증서 발급서비스를 시작한 2015년 12월부터 19개월동안 거둔 성과다. 모질라 파이어폭스 텔레메트리 통계에 따르면 프로젝트 출범 당시 HTTPS 사용 비중은 전체 로딩 웹페이지의 40%를 밑돌았다. 지금 이 비중은 18%포인트 늘어나 58%에 달한다.
HTTPS 암호화통신 도입률을 100%까지 끌어올릴 수 있을까? HTTPS 100% 확산은 실제로 렛츠인크립트 프로젝트가 내건 목표치다. 이를 위해 ISRG는 무료 인증서 지원 범위를 확대하기로 했다. 무료 인증서를 와일드카드 형태로도 발급하겠다고 예고한 것이다.
미국 샌프란시스코 ISRG 본부의 조시 아스(Josh Aas) 총괄이사는 6일(현지시간) 내년(2018년) 1월부터 와일드카드 인증서를 선보이겠다고 밝혔다. HTTPS 통신을 단일 도메인에 한정하지 않고, 모든 하위도메인까지 적용할 수 있게 해주는 게 와일드카드 인증서다.
일반 TLS인증서는 하위도메인이 여러개면 인증서도 여러개가 필요하고, 하위도메인을 새로 만들면 인증서도 새로 발급받아야 한다. 이를테면 기본 인증서가 letsencrypt.org 주소에서만 HTTPS 통신을 지원한다. 그럼 blog.letsencrypt.org같은 하위도메인에도 HTTPS 통신을 수행케 하려면 이를 지정한 별도의 TLS인증서를 발급받아야 한다. 이와 달리 와일드카드 인증서는 HTTPS 통신을 수행할 도메인을 *.letsencrypt.org같은 형태로 지정해 쓸 수 있다. 이 경우 letsencrypt.org라는 루트도메인을 포함한 모든 하위도메인에 HTTPS 통신이 적용된다.
아스 총괄이사는 "렛츠인크립트는 2018년 1월부터 와일드카드 인증서 발급을 시작할 것"이라며 "우리 바람은 와일드카드 인증서 발급이 웹의 100% HTTPS로 도달하는 속도를 끌어올리는 것"이라고 말했다.
관련기사
- MS, 브라우저 SHA1 인증서 퇴출 가세2017.07.07
- 시만텍 "구글 인증서 수명제한, 다른 문제 초래"2017.07.07
- "VPN이 프라이버시를 지켜 주지는 않는다"2017.07.07
- 구글의 '시만텍 불신' 빌미 된 한국 파트너2017.07.07
와일드카드 인증서가 발급되기 시작하면 이를 필요로하는 세계 운영자들의 웹사이트 도메인이 렛츠인크립트의 인증서를 이용할 것으로 보인다. 현재 렛츠인크립트는 4천700만개 도메인 대상으로 인증서를 발급했다.
다만 제약은 있다. ISRG 측은 서비스 초반엔 와일드카드 인증서용 도메인네임시스템(DNS)을 통해 검증된 기본 도메인에만 와일드카드 인증서 발급을 지원하기로 했다. 확산 추세에 따라 더 다양한 옵션을 제공한다는 방침이다. 또 와일드카드 인증서는 지난달 중순 발표된 인증서관리프로토콜 표준 ACME v2 API 엔드포인트를 통해 제공된다. 호스팅사업자나 ACME 클라이언트 개발자가 이를 지원해야 한다.