Let's Encrypt 신뢰성 검증 실패 - SSL 인증서 오류

최근 들어 무료 인증서인 Let's Encrypt가 설치된 사이트에서 SSL 인증서 오류가 발생하는 사례가 증가하고 있습니다. 10월 들어 갑자기 '연결이 비공개로 설정되어 있지 않습니다' 경고가 표시되는 경우 최근의 Let's Encrypt의 DST Root CA X3 루트인증서 만료로 인한 Let's Encrypt 신뢰성 검증 실패와 관련이 있을 수 있습니다.

SSL 인증서 오류 - NET::ERR_CERT_DATE_INVALID

Let's Encrypt 신뢰성 검증 실패

지난해 9월 한국전자인증에서는 2021년 9월 Let's Encrypt 보안 이슈에 대한 글을 게시한 적이 있습니다.

한국전파인증의 렛츠인크립트 Let’s Encrypt 신뢰성 검증 실패 문서에 의하면...

  1. Let’s Encrypt(렛츠인크립트)는 2021년 9월에 대한 경고를 게시함
  2. Let’s Encrypt가 신뢰성 검증에 루트 인증서로 사용하는 DST Root CA X3 루트 인증서는 2021년 9월에 만료됨
  3. Let’s Encrypt의 자체 루트 인증서인 ISRG Root X1은 일부 소프트웨어에서 호환성 문제가 발생(예 : Android 7.1 이전 버전)
  4. Android 7.1 이전 버전은 Let’s Encrypt가 발급한 인증서를 신뢰하지 않게 되며, 웹 사이트 접속 시 오류 발생하게 됨
  5. Android 7.1 이전 버전은 Let’s Encrypt의 인증서가 설치된 웹 사이트에 접속하기 위해서는 ISRG Root X1루트 인증서가 등록되어 있는 파이어폭스(Firefox) 브라우저로는 접속 가능 ( Firefox 브라우저는 OS의 루트 인증서 목록에 의존하지 않고 자체 루트 인증서 목록을 사용 )
  6. 해당 이슈를 해결할 수 있는 방법은 OS를 업데이트하거나 안드로이드 7.1 이상을 지원하는 기기를 구매하여 사용해야 합니다. 또는 파이어폭스 브라우저를 통해 접속 가능
  7. 웹 사이트 관리자는 호환성 문제를 고려하여 다양한 OS 및 브라우저에서 신뢰성 검증이 가능한 인증기관의 인증서로 교체가 필요함

DST Root CA X3 루트 인증서 만료로 인한 SSL 인증서 날짜 만료 문제가 발생할 경우

DST Root CA X3 루트 인증서 만료로 인해 일부 구버전의 브라우저에서는 무료 Let's Encrypt 인증서가 설치된 사이트를 방문할 때 인증서 만료날짜가 아직 도래하지 않아도 NET::ERR_CERT_DATE_INVALID 경고를 표시하는 사례가 나타나고 있습니다.

일부의 경우 워드프레스 관리자 페이지에 접속 시에 이런 문제가 발생하면서 컴퓨터가 시계가 잘못 설정되었다는 오류가 표시되기도 합니다. (예: '시계가 너무 먼 과거로 설정되어 있습니다' 또는 '시계가 너무 먼 미래로 설정되어 있습니다' 또는 'NET::ERR_CERT_DATE_INVALID)

DST Root CA X3 루트 인증서 만료로 인한 SSL 인증서 날짜 만료 문제가 발생할 경우
출처: 네이버 카페.

파이어폭스 브라우저는 OS의 루트 인증서 목록에 의존하지 않고 자체 루트 인증서 목록을 사용한다고 하므로, 이 문제가 나타날 경우 Firefox 브라우저로 사이트에 접속해보면 문제가 발생하지 않을 것입니다.

또 다른 방법으로 CodeMShop의 "Let’s Encrypt 미지원 오류" 문서를 참고하여 조치를 취해볼 수 있습니다.

이때까지 문제가 없다가 10월 들어 갑자기 사이트에서 NET::ERR_CERT_DATE_INVALID 경고가 표시된다면, DST Root CA X3 루트 인증서 만료로 인한 것으로 의심해볼 수 있습니다.

SSL 인증서 미설치 시

사이트에 SSL 인증서가 설치되지 않은 상황에서 사이트 주소가 http://example.co.kr 형식이 아닌 https://example.co.kr 형식으로 설정되어 있는 경우 NET::ERR_CERT_AUTHORITY_INVALID NET::ERR_CERT_DATE_INVALID 오류가 발생합니다.

이 경우에는 1) SSL 인증서를 설치하거나 2) 사이트 주소를 http://example.co.kr 형식으로 되돌리면 문제가 해결됩니다.

블루호스트를 비롯한 대부분의 해외호스팅에서는 Let's Encrypt 무료 인증서가 지원됩니다. 국내에서도 일부 웹호스팅 상품에서는 Let's Encrypt 보안서버 인증서가 무료로 제공되기도 하지만, 유료로 보안서버 인증서를 구매해야 하는 경우가 많습니다.

보안서버 인증서가 설치되지 않으면 크롬 브라우저에서 주소란에 '주의 요함' 경고가 표시되어 SEO에 불리할 수 있습니다.

참고


2개 댓글

  1. 감사해요. 자주 방문하는 사이트에서 갑자기 '연결이 비공개로 설정되어 있지 않습니다' 화면이 표시되어 당황했는데 firefox로 접속하니 오류가 발생하지 않네요.ㅎ

    1. 최근 들어 '연결이 비공개로 설정되어 있지 않습니다. 공격자가 example.com에서 정보(예: 비밀번호, 메시지, 신용카드 등)를 도용하려고 시도 중일 수 있습니다.' 오류가 발생하는 사례가 많은 것 같습니다. 위의 조치로 윈도우에서는 문제가 해결될 것입니다. 맥 사파리에서도 비슷한 경고가 표시되는 것 같습니다. 맥에서는 사파리 브라우저에서 오류가 발생한다면 다른 브라우저로 테스트해볼 수 있을 것입니다.

댓글 남기기

* 이메일 주소는 공개되지 않습니다.