TLS Certificate Diagnosis

TLS 인증서 검증 실패 원인 기준표

TLS 오류는 만료일 하나가 아니라 SAN, SNI, 체인, 신뢰 저장소, mTLS 요구조건이 어긋난 결과일 수 있습니다.

01

SNI 전달

클라이언트가 접속하려는 호스트명을 SNI로 보내 올바른 인증서를 선택하게 합니다.

Server Name
02

이름 확인

요청 호스트가 인증서 SAN 목록에 포함되는지 확인합니다.

SAN
03

체인 검증

서버 인증서부터 중간 CA, 루트 CA까지 신뢰 가능한 체인을 따라갑니다.

Chain
04

기간 확인

notBefore와 notAfter가 클라이언트 시간 기준으로 유효한지 봅니다.

Validity
05

정책 확인

mTLS, key usage, 알고리즘, 폐기 상태가 요구조건과 맞는지 확인합니다.

Policy
Name mismatch
SAN에 호스트 없음 와일드카드 범위와 apex/subdomain 차이를 확인합니다.
CN만 믿지 않음
Unknown issuer
체인 또는 루트 신뢰 실패 중간 인증서 누락, 사설 CA 미설치, 잘못된 번들을 확인합니다.
openssl s_client
Expired
유효 기간 만료 또는 시간 오류 인증서 만료뿐 아니라 클라이언트 시스템 시간이 틀린 경우도 봅니다.
자동 갱신 감시

운영 예방 기준

갱신 감시 만료일이 가까워지기 전에 알림이 오도록 인증서 모니터링을 둡니다.
체인 배포 서버가 중간 인증서를 포함해 완전한 체인을 제공해야 합니다.
SNI 테스트 같은 IP에 여러 도메인이 있을 때 각 호스트명으로 직접 검증합니다.