💣 Trouble Shooting

상황

팀프로젝트를 하며 처음으로 SSL 인증서를 발급받아 https로 배포를 해보았는데
API 요청을 받았을 때 이런 오류를 맞이하게 되었다.

너무 이상했던 것은 이 오류가 뜨기 전 API 요청과 응답이 정상적으로 되고 있었고,
당시 프론트/백 모두 휴식 기간을 가지며 코드를 수정한 적이 없었는데 갑자기 오류가 발생했다.

Spring 에러 로그

o.apache.coyote.http11.Http11Processor   : Error parsing HTTP request header
 Note: further occurrences of HTTP request parsing errors will be logged at DEBUG level.

java.lang.IllegalArgumentException: Invalid character found in method name 
// 생략
. HTTP method names must be tokens

구글링을 해보니 대부분 "https가 활성화되지 않았는데 https로 요청하면 발생할 수 있는 오류로, http로 요청하면 해결된다" 고 하는데 우리 상황에는 맞지 않은 것 같았다.

왜냐면 프론트/백 모두 코드를 수정하지 않았고 오류가 뜨기 전까지는 https로 통신했기 때문이다.

그래도 혹시 몰라 http로도 요청해보았는데 그래도 안됐다.
아 참고로 Postman으로는 http/https 모두 통신 가능했다.

도대체 뭐가 문제일까...?

WAS 앞단에 Nginx가 있어 Nginx 에러 로그도 살펴보았다.

Nginx 에러 로그

SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

Spring 단의 에러 로그만 봤을 때는 도대체 무슨 오류인지 감이 잡히지 않았는데,
Nginx 오류를 보니 SSL 관련 오류인 것 같았다.

에러 메시지로 구글링을 해보고 있던 차에 프론트 분이 웹브라우저에서 뜨는 에러 메시지도 전달주셨다.

웹 브라우저 에러 메시지

웹 브라우저에서 이런 오류 메시지가 떴다고 한다.
(아쉽게도 스크린샷은 없었다 ㅠㅠ)

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

이 에러 메시지까지 더해지니 SSL 관련 오류가 확실해보였다.
더불어 CIPHER라는 키워드까지 얻을 수 있었다!

원인

ERR_SSL_VERSION_OR_CIPHER_MISMATCH 오류의 원인은 다음과 같다.

1. 보안에 취약한 SSL 프로토콜을 사용하고 있거나, 취약한 암호묶음을 사용하고 있을 경우
2. 서버에서 응답한 Cipher Suites(암호화 형식)을 브라우저에서 처리 할 수 없는 경우

일단 보안에 취약한 SSL 프로토콜을 사용하고 있지는 않았다.
크롬 브라우저 기준 TLS 1.0 혹은 TLS 1.1의 경우 발생할 수 있으나,
우리 서버에서는 TLS 1.3을 사용하고 있었다.

그래서 Cipher Suites나 암호 묶음 관련 오류가 아닐까 추측했다.
아니면 클라이언트-서버의 프로토콜이 호환되지 않거나, 아니면 암호화 알고리즘 협상 과정에서 실패한 것으로 생각이 든다.
(Cipher Suites 관련해서는 공부를 좀 더 해보고 별도로 다시 정리할 예정이다.)

해결

관련해서 스택오버플로우 글을 참고해서 Nginx에 설정을 추가하니 해결되었다.

오류 해결은 됐지만 원인이 정확하게 파악이 되지 않아서 찝찝한 트러블 슈팅이었다.
https, SSL, Nignx 옵션, Cipher 등과 관련해서 공부를 좀 더 해봐야겠다.

server {
    // 생략
    
    ssl_prefer_server_ciphers   on;
    
    location / {
         // 생략
    }
}

ssl_prefer_server_ciphers 옵션
SSL/TLS 프로토콜에서 사용할 암호화 알고리즘을 지정하는 Nginx 옵션이다.
이 옵션은 클라이언트-서버 간 통신할 때 어떤 알고리즘을 사용할지에 대한 우선순위를 설정한다.

일반적으로 보안을 위해 on으로 설정하는 것이 권장된다.

• on:
  • 서버 측의 암호화 알고리즘 우선순위에 따라 클라이언트의 제안을 무시하고 서버 측의 알고리즘을 사용
• off:
  • 클라이언트가 제안한 알고리즘 중에서 서버가 가장 강력한 알고리즘을 선택

🔗 참고 링크

• https://serverfault.com/questions/905011/nginx-ssl-do-handshake-failed-ssl-error1417d18cssl/905019
• https://intro0517.tistory.com/200
• https://1004lucifer.blogspot.com/2018/11/chrome-errsslversionorciphermismatch.html
• https://www.hostinger.com/tutorials/ssl-version-cipher-mismatch-error