Let's Encrypt

개요

Let's Encrypt는 무료로 SSL/TLS 인증서를 자동 발급해주는 비영리 인증기관(CA)이다. Certbot 도구를 통해 발급, 설치, 갱신을 자동화할 수 있다.

예전에는 SSL 인증서를 받으려면 돈을 내야 했어요. 연간 수만 원에서 수십만 원까지 비용이 들었죠. 그래서 개인 블로그나 소규모 프로젝트에서는 HTTPS를 적용하기 부담스러웠어요.

Let's Encrypt는 이 문제를 해결하기 위해 만들어졌어요. 2015년에 시작된 이 프로젝트는 "인터넷의 모든 웹사이트가 HTTPS를 사용하게 하자!"라는 목표로, 완전 무료로 인증서를 발급해줘요. Mozilla, Google, Meta 같은 대기업들이 후원하고 있어서 걱정 없이 사용해도 돼요!

Let's Encrypt vs 유료 인증서

항목	Let's Encrypt	유료 인증서 (DigiCert 등)
비용	완전 무료	연간 수만~수십만 원
인증 수준	DV (도메인 검증만)	DV / OV / EV
유효 기간	90일 (자동 갱신)	1~2년
발급 시간	수 분 (자동화)	수 분 ~ 수 주
와일드카드	지원	지원
기술 지원	커뮤니티 (포럼)	전문 고객 지원
보증 배상금	없음	있음 (해킹 시 보상)
적합한 대상	개인, 스타트업, 소규모 서비스	금융, 대기업, 공공기관

90일이 짧아 보일 수 있는데, 걱정하지 마세요! Certbot이라는 도구가 자동으로 갱신해주니까, 한 번 설정해두면 신경 쓸 일이 없어요.

인증서 발급 과정

sequenceDiagram
    participant 관리자 as 🧑‍💻 서버 관리자
    participant Certbot as 🤖 Certbot
    participant Nginx as 🖥️ Nginx
    participant LE as 🏛️ Let's Encrypt

    관리자->>Certbot: certbot --nginx -d example.com
    Certbot->>LE: 인증서 발급 요청
    LE->>Certbot: 도메인 소유 증명 요구<br/>(챌린지 발급)
    Certbot->>Nginx: 챌린지 파일 배치<br/>(.well-known/acme-challenge/)
    LE->>Nginx: 챌린지 파일 확인<br/>(HTTP-01 검증)
    Nginx-->>LE: 챌린지 응답 전달
    LE-->>Certbot: ✅ 검증 성공! 인증서 발급
    Certbot->>Nginx: 인증서 설치 + 설정 자동 수정
    Certbot-->>관리자: 🎉 완료! HTTPS 사용 가능
Mermaid
복사

이 과정을 풀어서 설명하면:

서버에서 Certbot 명령어를 실행해요.

Certbot이 Let's Encrypt에게 "이 도메인의 인증서 주세요!" 하고 요청해요.

Let's Encrypt가 "정말 그 도메인의 주인이 맞아? 증명해봐!" 하고 챌린지를 줘요.

Certbot이 서버에 특별한 파일을 만들고, Let's Encrypt가 그 파일을 HTTP로 확인해요.

확인이 되면 인증서를 발급해주고, Certbot이 Nginx 설정까지 자동으로 해줘요!

도메인 소유 검증 방식

방식	이름	설명	와일드카드	자동화
HTTP-01	HTTP 챌린지	웹 서버에 특정 파일 배치 후 확인		쉬움
DNS-01	DNS 챌린지	DNS TXT 레코드 추가 후 확인		설정 필요
TLS-ALPN-01	TLS 챌린지	TLS 핸드셰이크로 확인

일반 도메인은 HTTP-01 방식이 가장 간편해요. 와일드카드 인증서(*.example.com)가 필요하면 DNS-01 방식을 사용해야 해요.

Certbot 설치 및 사용법

설치 (Ubuntu)

# Certbot 설치
sudo apt update
sudo apt install certbot python3-certbot-nginx
Bash
복사

인증서 발급

# 🌟 Nginx 자동 설정 (가장 추천!)
sudo certbot --nginx -d example.com -d www.example.com

# 인증서만 발급 (Nginx 설정은 직접)
sudo certbot certonly --nginx -d example.com

# 와일드카드 인증서 (DNS 검증 필요)
sudo certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com
Bash
복사

발급 후 파일 위치

파일	경로	용도
fullchain.pem	/etc/letsencrypt/live/도메인/fullchain.pem	인증서 + 체인 (ssl_certificate)
privkey.pem	/etc/letsencrypt/live/도메인/privkey.pem	개인키 (ssl_certificate_key)
chain.pem	/etc/letsencrypt/live/도메인/chain.pem	체인 인증서 (OCSP Stapling용)
cert.pem	/etc/letsencrypt/live/도메인/cert.pem	서버 인증서만

자동 갱신 설정

Let's Encrypt 인증서는 90일마다 만료되기 때문에, 자동 갱신 설정이 필수예요!

graph LR
    A[Cron Job / Systemd Timer<br/>매일 2회 실행] --> B[certbot renew<br/>갱신 필요 확인]
    B -->|만료 30일 이내| C[인증서 갱신]
    B -->|아직 여유 있음| D[아무것도 안 함]
    C --> E[Nginx 리로드<br/>새 인증서 적용]

    style A fill:#87CEEB
    style C fill:#90EE90
    style D fill:#E0E0E0
Mermaid
복사

# 갱신 테스트 (실제 갱신 안 함, 시뮬레이션)
sudo certbot renew --dry-run

# 자동 갱신 설정 확인 (보통 설치 시 자동 등록됨)
sudo systemctl list-timers | grep certbot

# 수동 갱신 (필요시)
sudo certbot renew

# 갱신 후 Nginx 리로드를 자동으로 하려면
sudo certbot renew --deploy-hook "systemctl reload nginx"
Bash
복사

Cron으로 자동 갱신 설정

# crontab 편집
sudo crontab -e

# 매일 새벽 2시, 오후 2시에 갱신 시도 (아래 줄 추가)
0 2,14 * * * certbot renew --quiet --deploy-hook "systemctl reload nginx"
Bash
복사

Certbot은 만료 30일 전부터 갱신을 시도해요. 매일 실행해도 아직 갱신할 필요가 없으면 아무것도 안 하니까, 자주 실행해도 괜찮아요!

자동 설정된 Nginx 설정 확인

certbot --nginx를 실행하면 Nginx 설정 파일이 자동으로 수정돼요:

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    # Certbot이 자동으로 추가한 설정
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    root /var/www/html;
    index index.html;
}

# HTTP → HTTPS 리다이렉트 (Certbot이 자동 생성)
server {
    listen 80;
    server_name example.com www.example.com;

    if ($host = www.example.com) {
        return 301 https://$host$request_uri;
    }
    if ($host = example.com) {
        return 301 https://$host$request_uri;
    }
    return 404;
}
Plain Text
복사

자주 발생하는 문제

문제	원인	해결 방법
발급 실패: "connection refused"	80 포트가 막혀있음	sudo ufw allow 80 방화벽 허용
발급 실패: "too many requests"	발급 횟수 제한 초과	1시간 대기 후 재시도, 스테이징 환경 테스트
갱신 실패	Nginx가 중지됨	Nginx 상태 확인 후 재시작
"인증서 만료" 경고	자동 갱신 미설정	cron 또는 systemd timer 설정
와일드카드 발급 실패	HTTP-01 방식 사용	DNS-01 방식으로 변경

핵심 정리

Let's Encrypt = 무료 SSL/TLS 인증서 발급 기관 (DV 인증)

Certbot = Let's Encrypt 인증서를 자동으로 발급/설치/갱신해주는 도구

발급: sudo certbot --nginx -d 도메인 한 줄이면 끝!

유효기간 90일 → 자동 갱신 필수 (cron 또는 systemd timer)

와일드카드 인증서는 DNS-01 검증 필요