openssl 1.0.2에서 untrusted chain 문제

최근에 서비스에서 사용하고 있는 intermediate certificate가 만료되어서 일부 client에게 장애가 발생했습니다.

Load Balancer에서 Client SSL Negoation Error가 급증해서 문제를 확인 가능했습니다.

 

관련해서 왜 일부 client에서만 문제가 발생하나가 궁금했는데, openssl 1.0.2의 동작이 문제네요.

 

EC2 인스턴스에서 만료된 Let's Encrypt 인증서 수정  에 다음과 같은 내용이 있습니다.

OpenSSL 1.0.2에서는 신뢰할 수 없는 체인이 항상 우선시됩니다. 이는 만료된 인증서가 표시되고 전체 체인이 만료된 것으로 간주됨을 의미합니다.

 

최근 버전의 OpenSSL에서는 문제가 없는데, OpenSSL 1.0.2에서는 일부 신뢰할 수 없는 체인이 있으면 전체 체인이 신뢰할 수 없다고 간주되었네요.