모바일 브라우저에서 "비공개 연결이 아닙니다." NET::ERR_CERT_AUTHORITY_INVALID 오류가 발생하는 현상
(미리 언급하자면, 이 글은 해결책은 없고 원인 파악만 해본 것입니다.)
이상하군요, 데스크톱의 Chrome/Edge에서는 제 홈페이지 접속이 아무런 문제가 없는데 모바일의 Chrome/Edge에서는 다음과 같이 인증서가 유효하지 않다는 화면이 나옵니다.
비공개 연결이 아닙니다.
공격자가 ...에서 사용자의 정보(예: 암호, 메시지 또는 신용 카드)를 도용하려고 시도할 수 있습니다.
NET::ERR_CERT_AUTHORITY_INVALID
"고급" 버튼을 누르면 다음의 메시지가 나오고,
해당 서버는 ...임을 증명할 수 없습니다;
장치의 운영 체제가 해당 보안 인증서를 신뢰하지 않습니다.
이것은 잘못된 구성이나 공격자가 연결을 가로채기 때문에 발생하는 것일 수 있습니다.
...(안전하지 않음)(으)로 계속하기
안전하지 않다는 링크를 타고 들어가면 아래와 같이 접속은 됩니다.
문제가 뭔지 확인하기 위해, 위의 화면에서 주소줄에 있는 방패 모양의 인증서 버튼을 누르면 아래와 같이 원인을 알려주는데,
이 사이트에 대한 연결이 안전하지 않습니다.
이 사이트에 중요한 정보(예: 암호 또는 신용 카드)를 입력하지 마세요. 공격자가 도용할 수 있습니다.
세부정보
위의 내용에서 "세부정보" 링크를 타고 들어가면 좀 더 자세한 내용을 확인할 수 있지만,
이 사이트에 대한 연결이 안전하지 않습니다.
이 웹 사이트의 ID를 확인하지 못했습니다.
* 서버의 인증서를 신뢰할 수 없습니다.
인증서 정보
정작 "인증서 정보" 링크를 눌렀을 때 볼 수 있는 화면에서는 인증서에 대한 아무런 오류가 없습니다.
사실, 저 인증서에 오류가 있었으면 데스크톱 Chrome/Edge에서도 마찬가지의 오류 상황이 발생했을 것입니다.
이에 대해 검색하다가 아래의 글에서,
SSL cert "err_cert_authority_invalid" on mobile chrome only
; https://stackoverflow.com/questions/27892873/ssl-cert-err-cert-authority-invalid-on-mobile-chrome-only
인증서 체크를 할 수 있는 링크를 하나 발견했습니다.
DigiCert® SSL Installation Diagnostics Tool
; https://www.digicert.com/help/
실제로 위의 페이지에 "www.sysnet.pe.kr" 경로를 입력했더니 다음의 오류가 나옵니다.
TLS Certificate is not trusted
The certificate is not signed by a trusted authority (checking against Mozilla's root store). If you bought the certificate from a trusted authority, you probably just need to install one or more Intermediate certificates. Contact your certificate provider for assistance doing this for your server platform.
위의 이미지에 보이는 인증서 중 "DST Root CA X3"은 "2021-09-30"에 만료가 되었기 때문에,
DST Root CA X3 Expiration (September 2021)
; https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
"Let's encrypt" 인증서는 진즉에 (Internet Security Research Group) "ISGR Root X1"을 루트로 서명이 됩니다. 이것은, 데스크톱 Edge에서 제 웹 사이트의 인증서 체인을 살펴보면 알 수 있습니다.
혹시나 싶어, 위에서 "인증서 뷰어" 화면으로 나오는 모바일 Chrome/Edge 브라우저의 www.sysnet.pe.kr 인증서에 대해 "일련번호"를 보면 데스크톱에서 인식한 인증서와 일련번호가 같음을 확인할 수 있습니다.
문제는, 함께 보이는 "R3" 인증서에 대한 것인데요, 모바일 Chrome/Edge 브라우저의 경우 확인해 보면 다음과 같이 나옵니다.
(역시나 만료 날짜를 보면 "2021.9.30"이라는 문제가 있고) 일련번호가 "40..."으로 시작하는데 데스크톱에서 www.sysnet.pe.kr의 인증서 체인에서 확인해 보면 "R3"의 경우 "00 91 2b 08 4a cf 0c 18 a7 53 f6 d6 2e 25 a7 5f 5a"라고 나옵니다.
즉, 모바일 웹 브라우저에서 중간 인증 기관의 인증서를 신규 인증서로 판단하지 못하고 재사용하고 있었던 것입니다.
그나저나, 저 문제를 수정하기 위한 적당한 방법이 없습니다. 안드로이드 모바일 폰만의 문제라면 어떻게 해보겠지만
digicert에서도 그렇게 판단하고 있다는 것은... ^^;
그래도 혹시나 싶어 아래의 내용 중,
Re-Hashed: How to Fix SSL Connection Errors on Android Phones
; https://www.thesslstore.com/blog/fix-ssl-connection-errors-android-phones/
공장 초기화 방법만 빼고 다 시도해봤지만 허사였습니다.
혹시 이에 대한 해결책을 아시는 분은 덧글 부탁드립니다. ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]