개요

한동안 nocta 사이트를 안들어가봤다가 최근에 한 번 들어가보니까 갑자기 HTTPS 연결이 사용되지 않고 있다는 것이다!

이 문제의 원인을 분석하면서 찾은 인증서와 관련한 모든 문제를 해결하고자 한다

해결 과정

현재 문제

• HTTPS 연결이 사용되지 않고 있다
  • 도메인(nocta.site)에 HTTPS 연결(자물쇠 표시)이 전혀 적용되지 않고, 브라우저에서 “보안 연결 사용 안 함” 경고 발생
• 인증서는 유효하다
  • Let’s Encrypt로 발급된 TLS 인증서는 2025‑09‑20까지 유효했으며, 브라우저에서도 인증서가 유효하다고 명시함

로그 분석 및 문제 해결

letsencrypt.log

• 로그 정보

  • Certbot의 내부 동작(버전, 호출 시각, 사용된 플러그인)을 디버깅·추적하는 로그
  • 각 “renew” 시도가 언제 실행됐고, 어떤 인증서에 대해 “skipped”(갱신 불필요) 또는 “success”(갱신 완료)로 처리됐는지 기록

• 실행 명령어

  cat /var/log/letsencrypt/letsencrypt.log
  

• 분석 결과

  • 크론 실행 타임스탬프 확인

    2025‑07‑20 04:34:19,…
    2025‑07‑20 17:41:27,…
    2025‑07‑21 03:57:03,…
    …
    2025‑07‑24 14:32:27,…
    

    • 매일 정해진 시각(예: 03:34, 17:41, 03:57…)에 certbot renew가 호출된 로그가 남아 있다
      • 크론 자체는 정상 작동
    • 근데 왜 3시마다 갱신하라고 했는데 하루에 두번이나 갱신하지?

  • 갱신 동작 분석

    Processing /etc/letsencrypt/renewal/nocta.site.conf
    …
    Certificate not yet due for renewal
    The following certificates are not due for renewal yet:
      /etc/letsencrypt/live/nocta.site/fullchain.pem expires on 2025-09-20 (skipped)
    No renewals were attempted.
    

    • /etc/letsencrypt/live/nocta.site/fullchain.pem 의 만료일이 2025‑09‑20 로 아직 30일 이내가 아니므로 Certbot은 기본 정책(-renew-before 30 days)에 따라 갱신을 건너뜀

• 분석 결과

  • 로그상으로는 전혀 오류가 없고, 만료일이 30일 이내로 다가오면 자동으로 갱신을 시도하게 되어 있다

nginx docker log

• 로그 정보
  • Nginx 컨테이너의 부팅 메시지(버전, 이벤트 모드)
  • 컨테이너가 받은 HTTP/HTTPS 요청과 그 응답 코드(200, 301, 404, SSL_read 에러 등)
  • ACME HTTP‑01 챌린지 경로(/.well-known/acme-challenge/...)에 대한 접근 시도와 결과
• 실행 명령어

docker logs refactor-web33-nocta-nginx-1 | grep -i ssl

• 분석 결과

  • 1. ACME 챌린지 파일 미응답 (404)

    • 증상

      2025/06/14 21:43:54 [error] … open() "/var/www/certbot/.well-known/acme-challenge/index.php" failed (2: No such file or directory)
      …
      2025/06/15 19:14:14 [error] … "/var/www/certbot/.well-known/acme-challenge/index.html" is not found (2: No such file or directory)
      …
      (매일 수십 건)
      2025/07/20 11:49:34 [error] … "/var/www/certbot/.well-known/acme-challenge/index.html" is not found …
      2025/07/21 00:34:19 [error] … open() "/var/www/certbot/.well-known/acme-challenge/cloud.php" failed …
      

      • /var/www/certbot 하위 .well-known/acme-challenge/… 경로에 챌린지 파일이 전혀 만들어지지 않아서 Let’s Encrypt 서버가 HTTP‑01 검증을 시도할 때마다 404를 리턴
        • Nginx 컨테이너 쪽에는 Certbot이 꺼내둔 토큰 파일이 전혀 전달되지 않는다
      • Docker Compose의 ~/certbot/www:/var/www/certbot 마운트가 제대로 됐으면 토큰 생성 시점에 잠깐이라도 파일이 보였어야 하는데, 로그에는 한 번도 “Serving challenge…” 같은 성공적인 응답이 보이지 않습니다.

    • 원인

      • Compose YAML 내부의 ~/certbot/www 는 셸 확장(틸드 해석) 이 되지 않으므로, 실제 호스트의 /home/ubuntu/certbot/www 디렉토리가 컨테이너에 마운트되지 않고 있다

  • 2. SSL/TLS “record layer failure” (간헐적)

    2025/06/27 00:12:21 [crit] … SSL_read() failed (SSL: … decryption failed or bad record mac …)
    …
    

    • 이 메시지들은 비정상적이거나 중단된 TLS 세션이 재사용되면서 발생하는 에러로, 근본 원인은 만료된 인증서가 걸리거나 클라이언트가 헬로 메시지 없이 커넥션을 유지 시도할 때 나타난다.
    • 하지만 이건 1번 문제(갱신 실패 → 만료)와 연쇄적으로 발생한 부수적 현상에 가깝다
• 문제 해결
  • docker compose에서 절대 경로 사용

    • Compose YAML 내부의 ~/certbot/www 는 셸 확장(틸드 해석) 이 되지 않으므로, 절대 경로를 사용한다

      volumes:
        - ~/certbot/www:/var/www/certbot
      

      volumes:
        - /home/ubuntu/certbot/www:/var/www/certbot:ro