Windows 10 에서 2021년 9월 30일 자 Let's Encrypt 인증서 오류 해결방법

1. 현상

Windows 10 에서 Let's Encrypt 인증서를 사용하는 웹사이트에 접속했을 때, NET::ERR_CERT_DATE_INVALID 에러가 발생한다.

Edge, Chrome 에서 에러가 발생한다(Firefox 는 그렇지 않다).

2. 원인

• DST Root CA X3 루트 인증서 만료 (2021년 9월)

• Windows 10 에서 루트 인증서를 자동으로 업데이트 하지 못하게 설정되어 있는 경우

3. 해결방법

3.1. 서버에서

일단은 서버가 TLS 1.3 을 지원하도록 변경한다.

생각외로 많은 클라이언트에서 문제가 해결된다.

필자는 TLS 1.3 에 대해 잘 모르고, 인터넷에 이에 대한 설명도 없는 것 같지만, 우연히 오래된 클라이언트에서 필자가 운영하는 웹사이트는 에러가 발생하는데, Let's Encrypt 는 정상적으로 접속되는 것을 발견하였는데, Let's Encrypt 가 TLS 1.3 을 지원하는 차이가 있다는 것을 알게 되었다.

웹서버가 비교적 최근에 발표된 버전이고, OpenSSL 이 TLS 1.3을 지원하는 버전이라면, 설정 파일을 변경하여 재기동하는 것으로 족하지만, 그렇지 않은 경우 수고를 해야한다.

다만 서버에서 완벽한 해결책은 없다. TLS 1.3 은 비교적 최근에 발표되었는데, 그 이전에 TLS 1.3 을 지원하지 않은 클라이언트에서는 큰 의미가 없다.

3.2. 클라이언트에서

regedit 를 실행시켜, 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot 를 찾아서, DisableRootAutoUpdate 값을 "0"으로 변경한다.

4. 잡담

서버에서는 TLS 1.3 을 지원하도록 설정을 변경해야겠지만, 완벽한 해결책이라고는 할 수는 없다.

완벽하지는 않지만, 그것이라도 하는 것을 권장한다.

시간이 지나고 클라이언트가 업데이트 되면서 자연스럽게 해결될 문제이긴 하지만, 클라이언트에서 해결해야 한다는 것은 억지스럽게 느껴진다.

사용자가 인증서 오류를 무시하는 습관에 길들여진다면, 인증서 시스템 자체가 무력화될 수도 있다.

서버 설정의 문제인지 확인하기 위해서는 인증서 에러가 발생하는 client 에서 Let's Encrypt 공식 홈페이지에 접속해서 동일한 에러가 발생하는지 확인하는 방법이 있다.