526과 525는 무엇이 다른가요?

525는 Cloudflare와 오리진 사이의 TLS 핸드셰이크 자체가 완료되지 못한 경우입니다 — 인증서 없음, 443 포트 닫힘, 호환되지 않는 TLS 버전. 526은 핸드셰이크는 정상적으로 완료됐지만 Cloudflare가 오리진이 제시한 인증서를 신뢰하지 않은 경우입니다: 만료, self-signed, 중간 인증서 누락, 호스트명 불일치. 525는 연결 실패, 526은 신뢰 실패입니다.

방문자가 인증서 경고를 봤나요?

아닙니다. 브라우저↔Cloudflare 구간은 Cloudflare 자체 인증서를 쓰므로 영향이 없습니다. 526은 Full (Strict) 모드에서 Cloudflare↔오리진 뒤쪽 구간에서 발생합니다. 방문자는 오리진 인증서가 아니라 Cloudflare 오류 페이지를 봅니다.

Full (Strict)에서 Full로 바꾸면 해결되나요?

오류는 사라집니다. Full은 오리진 연결을 암호화하지만 인증서 검증을 아예 하지 않기 때문입니다. 트래픽은 암호화되지만 Cloudflare가 만료되거나 위조된 오리진 인증서도 신뢰하게 됩니다. 임시 우회로만 쓰고, 인증서를 고친 뒤 Full (Strict)로 되돌리세요.

조회수: 13

526 Invalid SSL Certificate (Cloudflare) 해결

Cloudflare Error 526은 Full (Strict)에서 오리진 인증서 검증 실패를 뜻합니다. 체인·만료·호스트명을 3단계로 점검합니다. 무료 SSL 진단으로 바로 확인.

내 도메인에 이 문제가 있는지 지금 확인

무료, 가입 불필요. 이 가이드가 다루는 항목을 바로 검사하고 조치 방법을 알려드립니다.

Problem

Cloudflare가 Error 526: Invalid SSL Certificate를 반환합니다. Cloudflare는 오리진에 도달해 TLS 핸드셰이크를 완료했지만, Full (Strict) 모드에서 오리진 인증서를 검증한 뒤 거부한 것입니다.

Symptoms

Cloudflare 브랜드 오류 페이지에 Error 526이 표시됩니다.
사이트가 SSL/TLS 모드 **Full (Strict)**를 사용합니다(526은 오리진 검증을 건너뛰는 Full·Flexible에서는 발생하지 않습니다).
브라우저↔Cloudflare 연결은 정상으로 보이고, 페이지 콘텐츠만 로드되지 않습니다.

Top 3 Causes

오리진 인증서가 만료·아직 유효하지 않음·폐기됨 - Full (Strict)는 유효 기간과 폐기 여부를 확인합니다. Let’s Encrypt 자동 갱신 누락이나 시계 오차로 인한 “not yet valid” 인증서는 즉시 검증에 실패합니다.
인증서가 미신뢰이거나 체인이 불완전함 - self-signed 인증서, 내부/사설 CA가 발급한 인증서, 또는 중간 인증서 없이 제공된 leaf 인증서는 Cloudflare 신뢰 저장소로 검증할 수 없습니다. 중간 인증서 누락이 가장 흔한 원인입니다.
호스트명 불일치 - 인증서의 Common Name과 Subject Alternative Name이 Cloudflare가 접속하는 호스트명을 포함하지 않는 경우입니다. www.example.com용 인증서를 Cloudflare가 example.com으로 접속하는 오리진에 제공하면 검증에 실패합니다.

Diagnose with DechoNet

SSL Check를 오리진 호스트명 또는 IP에 실행해 인증서의 만료일·발급자·체인·포함 도메인을 확인합니다.
Port Check로 오리진의 443 포트가 열려 있는지 확인해 핸드셰이크 자체는 도달 가능함을 확인합니다.

Resolution Checklist

Cloudflare를 우회해 오리진 인증서를 직접 확인합니다: openssl s_client -connect ORIGIN_IP:443 -servername yourdomain.com. Verify return code 줄을 읽으면(0 (ok)가 아니면) 정확한 실패 원인(만료, self-signed, unable to get local issuer certificate)이 드러납니다.
체인이 불완전하면 leaf만이 아니라 전체 체인(leaf + 중간 인증서)을 다시 설치합니다. Unable to get local issuer certificate는 중간 인증서 누락을 뜻합니다.
인증서가 만료됐다면 갱신하고, 자동 갱신이 깨진 원인까지 고칩니다 — 그러지 않으면 다음 주기에 526이 다시 발생합니다.
self-signed나 내부 CA 인증서라면, Cloudflare Origin CA 인증서를 설치하거나(Full (Strict)에서 신뢰, 최대 15년 유효) 해당 CA를 Custom Origin Trust Store에 업로드합니다.
인증서의 SAN 목록이 Cloudflare가 접속하는 정확한 호스트명을 포함하는지 확인합니다.
SSL Check를 오리진에 다시 실행해 검증이 통과하는지 확인한 뒤 사이트를 새로고침합니다.

When to Escalate

관리형 플랫폼(Azure App Service, 관리형 로드 밸런서, 일부 PaaS)이 오리진 인증서를 제어해 교체할 수 없다면, 대시보드와 씨름하지 말고 해당 제공업체에 문의하세요.
로컬에서는 검증이 통과하는데 Cloudflare가 계속 526을 반환한다면, Cloudflare가 실제로 테스트한 오리진에 도달하는지 확인하세요 — 오래된 또는 로드 밸런싱된 A 레코드가 잘못 설정된 다른 백엔드를 가리킬 수 있습니다.