RATATOSKRATATOSK
로그인

cert-manager

v1.21.0Security
2026년 7월 8일

cert-manager v1.21.0은 RBAC과 Helm 설정 세 가지를 손대는 파괴적 변경을 포함한 보안 강화 릴리스로, cert-manager-edit ClusterRole의 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)가 핵심입니다. 여기에 ARI, Vault AWS IAM 인증, Gateway API 관련 신규 기능과 다수의 버그 수정이 함께 포함되어 있습니다.

  • securitycert-manager-edit 권한 축소 보안 패치

    cert-manager-edit ClusterRole가 challenges.acme.cert-manager.io에 대한 create 권한과 orders.acme.cert-manager.io에 대한 create/patch/update 권한을 더 이상 부여하지 않습니다(GHSA-8rvj-mm4h-c258). Challenge나 Order 리소스를 직접 생성하는 자동화 도구가 있다면 권한 오류가 발생할 수 있으니 RBAC을 점검하세요.

  • breakingtokenrequest 기본 RBAC 제거

    Helm 차트가 컨트롤러 자신의 ServiceAccount에 대해 토큰을 생성할 수 있는 기본 Role/RoleBinding(serviceaccounts/token: create)을 더 이상 만들지 않습니다. serviceAccountRef.name으로 컨트롤러 ServiceAccount를 참조하는 비공식적인 구성을 쓰고 있다면 별도로 RBAC을 추가해야 합니다.

  • breakingPrometheus 관련 Helm 값 제거

    Helm 값 prometheus.servicemonitor.targetPort, prometheus.servicemonitor.path, prometheus.podmonitor.path가 삭제되었습니다. values 오버라이드에 이 키들이 남아 있으면 업그레이드 시 스키마 검증 오류가 발생합니다. 업그레이드 전에 values 파일을 정리하세요.

주요 변경 (8)

  • 보안: cert-manager-edit ClusterRole에서 Challenge/Order 생성 권한 제거(GHSA-8rvj-mm4h-c258)
  • 주요 변경: 컨트롤러 ServiceAccount용 기본 tokenrequest RBAC(Role/RoleBinding) 삭제
  • 주요 변경: prometheus.servicemonitor/podmonitor 관련 Helm 값 3종 삭제, values 오버라이드 시 검증 오류 주의
  • enableGatewayAPI 등 게이트웨이 관련 필드와 ServerSideApply 기능 게이트 지원 종료(구 필드는 계속 동작)
  • 신규 기능: ACME 갱신 정보(ARI, RFC 9773) 실험적 지원, Vault 발급자의 AWS IAM 인증(IRSA/EKS Pod Identity) 지원
  • 신규 기능: Certificate API의 renewalPolicies 필드, CertificateRequest 백오프 상한 플래그, FIPS 140-3 호환 Modern2026 PKCS#12 프로필
  • 버그 수정: renewBeforePercentage 정수 오버플로, 만료된 인증서 재발급 무한루프, ACME 일시적 네트워크 오류로 인한 챌린지 실패 등 다수 수정
  • 그 외 약 6건의 소규모 개선: cainjector --ignore-namespaces 플래그, Venafi AuthFailed 조건, runtimeClassName 지원, startupapicheck 자동 정리, Debian 13 베이스 이미지 전환