CN Fallback 제거에 따른 SAN 기반 인증 필수 구조 전환

Why Subject Alternative Names (SANs) Matter for Modern Browsers

Dima Stopel2026년 5월 6일2분beginner

AI 요약

Context

20년간 SSL/TLS 인증서 식별에 사용한 Common Name(CN) 필드 기반의 검증 방식 채택. 최신 브라우저의 CN 무시 정책으로 인해 기존 CN 전용 인증서의 연결 거부 문제 발생.

Technical Solution

RFC 2818 표준에 따른 subjectAltName(SAN) 확장 필드 우선 적용 구조 설계
Chrome 58 버전부터 적용된 CN Fallback 제거 로직에 대응한 SAN 필수 포함 전략
dNSName 및 iPAddress 타입을 활용한 호스트네임 및 IP 매칭 메커니즘 구현
Apex Domain과 Subdomain 동시 지원을 위한 개별 SAN 엔트리 구성 방식 채택
OpenSSL 1.1.1의 -addext 플래그를 통한 인증서 생성 단계의 SAN 주입 자동화

실천 포인트

- 인증서 생성 시 Common Name 외에 반드시 SAN 필드에 도메인/IP 포함 여부 확인 - *.example.com 와 같은 Wildcard 설정 시 Apex Domain(example.com) 별도 등록 검토 - 레거시 OpenSSL 버전 사용 시 설정 파일을 통한 SAN 확장 필드 정의 여부 점검

태그

#SSL/TLS #X.509 #SAN #Certificate Authority #Common Name

원문 읽기