모바일에서 SSL 인증서

 

모바일 앱에서 SSL인증서에 대한 에러가 찍히는 현상이 있었다.
클라이언트단에서 SSL 인증서를 따로 별도로 처리하는 것은
상용 소프트웨어 구성상으로 취약하다는 의견이 많은데,
인프라에서 해당 원인을 찾지 못하여 같이 원인을 분석하기 시작하였다.

안드로이드 앱 같은 경우 아래와 같은 에러가 찍혔다.
SSLhandshackeException
java.security.cert.CertPathValidatorException: Trust anchor for certification path not found

아이폰은 정상적으로 앱은 구동되었으나
웹 WAS에서 로직을 수행하면서 비슷한 에러가 발생하였다.

javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.h: PKIX path building failed: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl could not build a valid CertPath.; internal cause is:
java.security.cert.CertPathValidatorException: The certificate issued by CN=GlobalSign Extended Validation CA - SHA256 - G3, O=GlobalSign nv-sa, C=BE is not trusted; internal cause is:
java.security.cert.CertPathValidatorException: Certificate chaining error
at com.ibm.jsse2.j.a(j.java:16)

인터넷에 검색해보니 ssllabs 사이트가 있고
그 사이트에 도메인을 입력하면 서버인증서와 그 외 추가 인증서에 상태가 나온다.
문제는 서버 인증서를 신뢰할 수 있게 하는 그 외 인증서였다.

인터넷에서 찾은 내용과 비슷하게 체인 이슈가 있었다.
서버에 설치된 인증서가 불완전한 케이스이고, 완전한 인증서로 교체하여
Additional Certificates (if supplied) 항목에서 chain issue가 None으로 나왔다고 함

https://www.ssllabs.com/ssltest/analyze.html?d=naver.com
을 검색하면 체인 이슈가 없음을 확인할 수 있었다.

SSL 인증서를 갱신하면서 접속 시 문제가 되는 상황이 있었고
인증서 교체를 통해서 원활하게 접속이 될지 지켜봐야할 것 같다.

 

openssl s_client -connect 도메인:443 -tls1

openssl s_client -connect 도메인:443 -tls1_1

openssl s_client -connect 도메인:443 -tls1

서버에서 위와 같이 명령어 검색시 chiper 내용이 나온다.