SSL 체인 누락/도메인 불일치 대응

Problem

HTTPS 접속 시 인증서가 신뢰되지 않거나 현재 도메인과 맞지 않는다는 경고가 발생하는 상황입니다. 겉으로는 같은 SSL 오류처럼 보이지만, 실제로는 SAN 불일치와 체인 누락을 구분해야 해결 방향이 달라집니다.

Symptoms

• 브라우저에서 도메인 불일치 또는 신뢰할 수 없는 인증서 경고가 나타납니다.
• SSL Check에서 SAN 목록이 현재 호스트명을 포함하지 않습니다.
• 인증서 만료는 아니지만 TLS 연결이 실패합니다.
• 같은 서버라도 특정 하위도메인만 HTTPS 오류가 납니다.

Top 3 Causes

1. SAN 누락 - 인증서 발급 시 필요한 호스트명을 모두 포함하지 않았습니다.
2. 중간 인증서 누락 - 서버가 full chain 대신 leaf certificate만 전송합니다.
3. 잘못된 배포 대상 - 다른 서비스용 인증서를 잘못된 가상호스트나 로드밸런서에 연결했습니다.

Diagnose with DechoNet

• SSL Check로 SAN 목록, 만료일, 체인 상태를 먼저 확인합니다.
• DNS Lookup으로 현재 호스트가 실제로 어느 IP나 CDN으로 향하는지 확인합니다.
• Port Check로 443 연결 자체가 가능한지 확인해 순수 포트 문제를 분리합니다.

Resolution Checklist

• 현재 접속하는 모든 호스트명(example.com, www.example.com, 서브도메인`)이 SAN에 포함되는지 확인합니다.
• 인증서를 재발급할 때 누락된 호스트명을 추가합니다.
• 웹 서버 또는 LB에 fullchain.pem 또는 공급자가 요구하는 전체 체인 파일을 배포합니다.
• 멀티 도메인 환경이라면 가상호스트 또는 SNI 매핑이 올바른지 확인합니다.
• 수정 후 SSL Check를 다시 실행해 SAN 및 체인 상태가 정상으로 바뀌는지 검증합니다.

When to Escalate

• 인증서가 CDN 또는 managed LB에 설치돼 있으면 해당 콘솔에서 배포 상태를 함께 확인해야 합니다.
• 사설 CA 또는 기업용 PKI를 쓰면 intermediate 배포 정책을 보안 담당자와 조정해야 할 수 있습니다.
• 동일 인프라에서 여러 인증서가 섞여 있으면 인프라 담당자와 SNI 라우팅 구성을 함께 점검해야 합니다.