SSL/TLS 인증서 쉽게 이해하기 (전문 용어 없이)
HTTPS 인증서의 역할, 브라우저 경고가 뜨는 이유, 그리고 내 도메인의 만료 및 체인 문제를 직접 확인하는 방법.
브라우저에서 자물쇠 아이콘이 보일 때, TLS(흔히 아직도 SSL이라고 불리는)가 사용자와 서버 간의 트래픽을 암호화하고 있는 것입니다. 인증서는 공개 키를 호스트명(그리고 경우에 따라 기업 신원)에 연결하여, 같은 Wi‑Fi 상의 위장 사이트가 아닌 실제 사이트와 통신하고 있음을 브라우저가 확인할 수 있게 해줍니다.
인증서가 실제로 증명하는 것
- 도메인 검증(DV) — 해당 도메인을 내가 제어한다는 것을 증명하며, 방문자는 암호화를 제공받지만 신원 증명은 제한적입니다.
- 조직 검증(OV) / 확장 검증(EV) — 법적 주체에 대한 더 강력한 검사를 거치며, EV는 과거에 초록색 주소창 브랜딩을 표시했지만 최신 브라우저에서는 덜 눈에 띄게 바뀌었습니다.
대부분의 사이트에는 Let's Encrypt에서 제공하는 무료 DV 인증서로 충분합니다: 암호화 + 자동 갱신이 가능합니다.
인증서 체인
브라우저는 운영체제에 내장된 루트 CA를 신뢰합니다. 서버는 리프 인증서 + 중간 인증서를 전송하고, 브라우저는 이를 신뢰할 수 있는 루트까지 체인으로 연결합니다. 중간 인증서가 누락되면, 내 컴퓨터의 OpenSSL에서는 정상으로 보이더라도 일부 클라이언트에서 "인증서를 신뢰할 수 없음" 오류가 발생할 수 있습니다.
반드시 CA가 안내하는 전체 체인을 서버에서 제공하도록 설정하세요.
만료 및 갱신
인증서는 만료됩니다. Let's Encrypt는 자동화를 장려하기 위해 단기(90일) 인증서를 발급합니다. ACME 갱신(Certbot, Caddy, Traefik 또는 호스팅 패널)을 설정하고 실패 여부를 모니터링하세요.
만료된 인증서는 다음을 중단시킵니다:
- 사용자의 HTTPS 접속
- TLS를 고정하거나 엄격한 클라이언트를 사용하는 API
- 수신 서버가 아웃바운드 TLS 검증을 제대로 하지 못하는 경우 Webhook
호스트명 불일치
www.example.com에 대한 인증서는 SAN 항목에 두 가지가 모두 포함되어 있거나, 와일드카드 *.example.com을 사용하지 않는 한 example.com을 커버하지 않을 수 있습니다(와일드카드는 루트 도메인 자체는 포함하지 않습니다).
저희 SSL Checker를 사용하면 공개 인터넷 관점에서 만료일, 발급자, 호스트명 커버리지를 확인할 수 있습니다.
TLS보다 DNS가 먼저
TLS는 클라이언트가 올바른 IP에 접근하는 것을 전제로 합니다. 서버 이전 후에는 암호화 방식 디버깅에 시간을 쏟기 전에 DNS Lookup으로 A/AAAA/CNAME 레코드를 먼저 확인하세요.
HTTP 리다이렉트가 올바르게 동작하지 않는다면, HTTP Status Checker를 통해 http → https 간의 301/302 체인을 검증할 수 있습니다.
실용 체크리스트
- 모든 곳에서 HTTPS를 활성화하고, HTTP는 301로 리다이렉트하세요
- 모든 서브도메인이 HTTPS를 지원한다고 확인된 후에만 HSTS를 제공하세요
- 갱신을 자동화하고 만료 14일 이내에 알림을 받도록 설정하세요
- 사무실 네트워크뿐 아니라 모바일 네트워크와 기업 프록시 환경에서도 테스트하세요
HTTPS는 SEO, 보안, 사용자 신뢰의 기본 조건입니다. 무엇을 찾아야 하는지 알고 나면, 체인이나 호스트명 문제는 생각보다 빠르게 해결할 수 있습니다.