웨일 브라우저에서만 나타나는 Let’s Encrypt 보안서버 SSL 인증서 오류 net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 해결하기

며칠전 새벽에 서버 이전을 작업을 진행했는데요. SSL 인증서는 이제 모두 Let’s Encrypt 를 사용하고 있기 때문에 신규 서버에서 NGINX 설정을 마치고 바로 certbot –nginx 로 인증서를 새롭게 생성하고 크롬에서 HTTPS 로 접속이 잘 되는 것을 확인하고는 잘되는 것으로 판단해 서버이전을 마무리하였습니다.

하지만 오전에 다시 확인해보니 네이버 웨일 브라우저에서만 유독 아래와 같은 오류가 발생하더군요.

연결이 비공개로 설정되어 있지 않습니다.
공격자가 doogle.link에서 정보(예: 비밀번호, 메시지, 시뇽ㅇ카드 등)를 도용하로고 시도 중일 수 있습니다. 

서버에서 인증서 투명성 정책을 사용하여 공개되지 않은 인증서를 제시했습니다. 인증서 투명성 정책은 인증서가 신뢰할 수 있으며 공격자로부터 사용자를 보호하고 있음을 보장하기 위한 것으로 일부 인증서의 경우 필수사항입니다.
net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

크롬, 익스플로러 등에서는 나타나지 않는 증상입니다.

보통 웹서버 SSL 인증서 설정 관련 오류는 본적이 있어도 net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 이런 인증서 투명성 정책 관련 오류는 처음봐서 참 난감하더군요.

게다가 인증서 상세 정보를 확인해보면 인증서는 유효한 것으로 나오고 상위 인증서들도 모두 인증기간이 유효한 것을 확인했습니다. 참 알 수 없는 오류입니다.

딱히 알아볼데가 없어서 구글링해도 정보가 매우 부족하고 결국 네이버 웨일 개발자 포럼의 글을 확인하게 되었는데요. 담당자가 말로는 SSL 쪽 문제를 확인하고 수정하였으며 배포를 다음 엔진업데이트 쯤에 할려고 조율중이라고 나오더군요. 지금 당장 안돼서 문제인데…

서버 이전한 사이트는 현재진행형으로 웨일에서 열리지 않아 마음은 타들어가고… 다시 원인을 분석해 보기로 했습니다.

일단 Let’s Encrypt 로 생성한 SSL 로 운영중인 다른 사이트들은 이상없이 웨일에 https 로 정상 접속이 가능하다는게 이상한 점입니다.

하지만 인증서 투명성 정책 오류는 서버 이전한 사이트를 비롯해 여기 doogle.link 에서도 같은 증상이 발생하였습니다. 다른 웨일 개발자 포럼에 올라온 비슷한 사례들도 최근 며칠사이에 올라온 사이트들을 보니까 동일한 오류더군요.

가만히 보면 인증서 시작일시가 꽤 최근입니다. doogle.link 의 경우 2월 10일부터고… 이번 서버 이전도 며칠안돼니까요.. 일단은 인증서 발급 시기 혹은 인증 유효기간이 근래인 경우(약 1월 중순부터 최근 며칠전까지)가 문제가 되는 거 같더군요. 아무튼 더이상은 제 식견에서는 단서가 없어서 결국 인증서를 새롭게 다시 발급해보기로 했습니다.

일단 갱신을 해보니 아래와 같이 나옵니다.

# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/doogle.link.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/doogle.link/fullchain.pem expires on 2020-05-09 (skipped)
No renewals were attempted.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

만료일이 아직 많이 남아서 갱신 처리를 거부하네요. ^^;;

결국 아래와 같이 새롭게 만드는 것으로 해봤습니다.

# certbot --duplicate --nginx

이렇게 하니 새롭게 인증서를 생성해주네요.

이제 웨일에서 접속해보니 신기하게도 잘 접속이 됩니다.

원인은 아직 잘 모르겠지만 일단 해결은 한 거 같아서 다행이네요. ㅡ.ㅡ;;

다른분들도 Let’s Encrpyt 인증서로 인해 웨일에서 비슷한 증상을 겪고 계신다면 한번 시도해 보시는게 좋을 거 같습니다.

정확한 원인을 알고 계신 고수님이 계시다면 아래 댓글로 알려주시면 감사하겠습니다. ^o^b

다들 즐겁게 서버 운영하세요~ ㅎㅎ

헉… 네이버 웨일 포럼에 글 좀 올려보려고 했더니 바로 5분전에 새버젼 hotfix 2.6.90.18 를 배포하셨네요. 그리고 인증서도 Lets Encrpyt 만의 문제는 아니였던 모양입니다. 네이버 잘하자 좀… ㅋㅋ