jsDelivr 장애 사후보고

https://www.jsdelivr.com/blog/jsdelivr-may-outage-postmortem/

요약하자면

1. jsDelivr에서는 클라우드플레어 인증서 CA 업체로 DigiCert를 사용중이였음

2. 클라우드플레어에서 DigiCert CA를 Google Trust Services(GTS)로 교체하기 시작

3. 서비스 특성상 클플 DNS 서버를 사용할수 없으므로 다른 방식으로 도메인 소유권 인증(DV)를 진행

(이 방식은 무려 10년에 가까운 기간 동안 이상 없이 동작했다 합니다)

4. GTS로 변경되며 DV 방식도 HTTP 인증으로 변경

5. CDN 서비스 특성성 어느 지역의 어느 서버로 연결될지 예상할수 없으므로 사용 불가능한 인증 방식으로, 인증서 연장 실패

6. 가장 최근의 DigiCert 발급이 아닌 인증서는 2020년에 발급한 인증서라 이 인증서로 교체

7. 자동화 시스템이 실패할것이라고 아무도 예상하지 못했기에 문제 발견도 늦음

문제가 발생한 지역은 아프리카, 아시아, 특정 유럽 / 라틴 아메리카 지역입니다.

특정 서비스의 문제라기보다는 자동화를 너무 과신한(무려 10년가까이 이상이 없으니까 긴장을 놓게 되었겠고 신경을 쓰지 않게 되었겠죠) 휴먼 에러가 사건의 원인인 셈입니다.