클라우드플레어 사용 시, ERR_CERT_AUTHORITY_INVALID 해결 했던 방법 (nginx SSL 따로 사용 시)

모두 같을 순 없지만 ERR_CERT_AUTHORITY_INVALID 오류가 다양하기 때문에 나의 경우 기준으로 이야기하면 nginx가 이미 SSL을 가지고 있는 상태였는데 OpenSSL로 미리 만들어둔 인증된 Let's 인증서를 보유한 상태였음.

 

해당문제가 워낙 급할거라 원인만 빨리 알아보면...

 

클플은 원본서버의 CPU과부하나 접근제한이 걸리는 상황이 도출되면 자기네들인증서 발급을 안하고 원본서버(nginx)를 들이밀음. 원본서버의 엔진엑스의 SSL 연동상황이 그대로 노출되는 상황이 생김.

 

 

클라우드플레어에서 주는 SSL을 쓰려고 연동했는데, 연결상태에 대한 부분이 미흡했는지 위와 같이 전체모드를 사용하는 중이였음.

 

전체모드를 사용하는 과정에서 클플이 이렇게 행동한 모양. 원본서버 접근이 안되면 클플 인증서를 발행하지 않는 상황이 생김.

이때 원본서버로 일명 놓아주듯이 연결이 풀려버림. 브라우저에서 원본서버의 실 A,AAAA로 접근하게되어서 인증서를 요구하는데

* 이때 nginx에서 자체인증서 발행하면 미인증 인증서라고 이야기하고, 원본서버가 다운중이라면 다운된 상태가 보여짐.

* 원본 서버에 보유중인 인증서가 노출되는 상황임으로 만약 미인증 인증서인 snak-oil상태의 인증서가 노출되면 사이트평가에 악영향을 미침.(아몰랑, 네 서버가 문제지 우리 문제 아냐 실서버로 가랏! 을 시전...)

 

우분투(Ubuntu rg) 프로세스 점유율이 높을 때

나의 장애는 내가 냈다. 미안해 네이버 구글 다음 카카오 빙

 

따라서 가급적이면 클플 쓰더라도 클플 장애에 대응할 수 있도록 원본서버도 OpenSSL을 통해서 발급하거나 유료 장기 인증서로 대체해서 서비스하는게 맞아보임.