SSL 만료 전 운영 체크리스트

Problem

SSL 인증서 만료가 임박했거나 이미 만료되어 브라우저 경고, API 연결 실패, 모니터링 알림이 발생하는 상황입니다. 단순 갱신만으로 끝나지 않고 실제 서비스 경로에 새 인증서가 반영됐는지까지 확인해야 합니다.

Symptoms

• SSL Check에서 만료일이 지났거나 남은 기간이 매우 짧게 표시됩니다.
• 브라우저에서 보안 경고 또는 API TLS 오류가 발생합니다.
• 인증서를 갱신했는데도 일부 환경에서 여전히 이전 만료일이 보입니다.
• HTTPS는 실패하지만 HTTP는 정상으로 응답합니다.

Top 3 Causes

1. 자동 갱신 실패 - cron, systemd timer, ACME 검증 경로 문제로 갱신이 수행되지 않았습니다.
2. 배포 반영 실패 - 새 인증서는 발급됐지만 웹 서버, 프록시, 로드밸런서가 이전 인증서를 계속 사용합니다.
3. 접속 경로 문제 - 443 포트, LB, 프록시 계층 문제 때문에 실제 TLS 연결이 실패합니다.

Diagnose with DechoNet

• SSL Check로 만료일, SAN, 체인 상태를 즉시 확인합니다.
• HTTP Check로 HTTPS 리다이렉트와 최종 응답이 정상인지 점검합니다.
• Port Check로 443 포트가 외부에서 열려 있는지 확인합니다.

Resolution Checklist

• 인증서 발급 또는 갱신 이력이 실제로 성공했는지 ACME 로그나 관리 콘솔에서 확인합니다.
• certbot renew --dry-run 또는 사용하는 발급 도구의 test renew 절차를 실행합니다.
• 웹 서버, reverse proxy, load balancer가 새 인증서 파일을 참조하는지 확인합니다.
• 인증서 갱신 후 서비스 reload 또는 배포 롤링이 누락되지 않았는지 검토합니다.
• 443 포트와 HTTPS 리다이렉트가 정상인지 Port Check와 HTTP Check로 재검증합니다.

When to Escalate

• managed certificate 서비스를 쓰면 클라우드 콘솔 또는 공급자 상태를 우선 확인해야 합니다.
• 로드밸런서와 원본 서버 중 어느 계층에서 이전 인증서를 쓰는지 구분이 안 되면 인프라 담당자 지원이 필요합니다.
• 인증서 발급자 오류나 ACME rate limit가 걸리면 즉시 발급 공급자 정책을 확인해야 합니다.