무료 SSL 자동 갱신을 써도 모니터링이 필요한 이유
"certbot으로 자동 갱신을 걸어놨으니 인증서는 신경 안 써도 된다." 흔한 생각이지만, 자동 갱신은 생각보다 자주 조용히 실패합니다. 조용하다는 게 핵심입니다. 실패해도 아무도 모르다가, 만료되고 나서야 알게 되는 경우가 많습니다.
자동 갱신이 실패하는 흔한 경우
- 스케줄러가 꺼져 있음:갱신을 돌리는 cron이나 systemd 타이머가 비활성/마스킹되어 있으면 갱신 자체가 실행되지 않습니다.
- 갱신 후 재적용 누락:인증서는 새로 발급됐지만 웹서버를 reload 하지 않아 서버가 여전히 옛 인증서를 내보내는 경우.
- 검증 실패:도메인 DNS 변경, 방화벽, 80/443 포트 차단 등으로 갱신 시 도메인 검증(HTTP-01/DNS-01)이 막히는 경우.
- 수동 발급분:로드밸런서·CDN·일부 장비에 사람이 직접 올린 인증서는 애초에 자동 갱신 대상이 아닙니다.
- 환경 문제:디스크 가득 참, 권한 오류, 만료된 ACME 계정 등.
인증서 수명이 짧아질수록(200일 → 100일 → 47일) 이런 실패가 만료로 이어지기까지의 여유 시간도 함께 줄어듭니다. 한 번의 조용한 실패가 더 빨리 장애가 됩니다.
모니터링은 마지막 안전망
자동 갱신과 모니터링은 경쟁 관계가 아니라 상호 보완입니다. 자동 갱신은 일을 처리하고, 모니터링은 그 일이 실제로 됐는지 바깥에서 확인합니다.
핵심은 "실제로 서버가 내보내는 인증서"를 외부에서 점검한다는 점입니다. 설정 파일이 아니라 실제 응답을 보기 때문에, 갱신은 됐는데 reload를 안 해서 옛 인증서가 나가는 상황까지 잡아낼 수 있습니다. 그리고 만료가 다가오면 사람에게 알림을 보내, 자동화가 멈춘 걸 만료 전에 알아채게 합니다.
Let's Encrypt 역시 자동 갱신과 별개로 모니터링 서비스 사용을 권장합니다. 무료 인증서를 쓰더라도 모니터링은 따로 챙기는 편이 안전합니다.