핵심 요약
데브시스터즈가 Let’s Encrypt의 기본 체인 변경으로 cert-manager의 체인 선택 로직에 버그를 발견하고 분석한 뒤, 이를 수정하는 PR을 제출하여 머지되었다.
주요 경험
- ACME의 Default Chain과 Alternate Chain의 차이 및 cert-manager의 탐색 로직이 충돌해 DST Root CA X3 체인이 선택되는 상황을 확인했다.
- 2024년 2월의 변경과 boringSSL 구버전의 동작 특성이 문제를 촉발했다.
- PR을 통해 해결했고, 커뮤니티 및 cert-manager 레포에 관련 이슈 확산과 피드백을 받았다.
얻은 인사이트
- ACME 클라이언트의 체인 탐색 규칙 차이가 실제 서비스에 큰 영향을 준다.
- 하위 호환 정책 변경은 서비스 안정성과 배포 파이프라인에 주의가 필요하다는 점을 확인했다.
