Problem Detail

The mTLS certificate chain validates externally, but the internal proxy strips the client certificate header on HTTP/2 upgrade and backend auth fails only there

Security 원문 시나리오에서 Certificate Trust Failure 신호를 기준으로 근본 원인과 안전한 복구 방향을 정리하는 문제입니다.

SECURITY-159L6 StabilizeSecurityTLS17 min집계 준비 중힌트 3개Foundation Ops

SecurityTLSFoundation OpsLevel 6무료17 min시도 집계 준비힌트 사용률 준비평균 점수 준비

Scenario

현재 상황

The mTLS certificate chain validates externally, but the internal proxy strips the client certificate header on HTTP/2 upgrade and backend auth fails only there 상황에서 separate chain validation from downstream identity forwarding in layered TLS designs를 중심으로 원인을 좁혀가는 시나리오입니다.

Telemetry & Logs

조사할 단서

Focus

이 문제에서 먼저 볼 것

보안 정책, 인증 흐름, 접근 제어 원인을 운영 관점에서 분리하기
기능 장애처럼 보이는 보안 문제를 로그와 정책 기준으로 해석하기
차단과 복구, 재발 방지 사이의 균형점을 정리하기

Checklist

점검 체크리스트

무엇이 차단되었는지보다 어떤 정책이 적용되었는지 먼저 확인합니다.
인증, 권한, 네트워크 정책, 보안 장비 로그를 같은 시간축으로 정리합니다.
임시 허용 조치와 장기 정책 수정안을 분리해서 기록합니다.

Answer Draft

원인과 복구 방향 정리하기

로그인하면 답안 제출, 힌트 공개, 북마크, 노트 저장 기능을 사용할 수 있습니다.

Hints

막히는 지점부터 차례대로 확인하기

FAQ

같이 보면 좋은 질문

이 문제에서 원문은 그대로 읽어야 하나요?

네. 제목과 시나리오는 실제 장애 단서이므로 그대로 유지합니다. 한국어 풀이는 판단 순서와 답안 구조를 돕기 위한 보조 설명입니다.

기술 용어와 명령어는 번역해야 하나요?

아니요. IAM, token, certificate 같은 기술 용어와 audit 같은 명령어는 영어 원문을 유지하세요.

답안에서 가장 중요한 기준은 무엇인가요?

사용자 영향, 관찰한 근거, 최근 변경, 안전한 복구 방향을 한 번에 연결해 설명하는 것입니다.

Field Notes

현장에서 본 비슷한 케이스

아직 공개 검증된 현장 메모가 없습니다.

비슷한 장애를 겪었다면 아래 양식으로 현장 메모를 제안할 수 있습니다.

Notes

개인 노트

메모

Training Session

DevOps/SRE Track

Recovery

복구와 재발 방지 포인트

서비스 영향을 줄이는 가장 작은 조치를 먼저 선택하고, 이후 권한 범위 축소, trust chain 정리, rule 예외 최소화, audit log 확인를 재발 방지 항목으로 분리합니다.

My Status

내 학습 상태

Track

The mTLS certificate chain validates externally, but the internal proxy strips the client certificate header on HTTP/2 upgrade and backend auth fails only there

현재 상황

조사할 단서

이 문제에서 먼저 볼 것

점검 체크리스트

원인과 복구 방향 정리하기

막히는 지점부터 차례대로 확인하기

이 문제를 찾는 흐름

흔한 오진

실무에서 기억할 포인트

같이 보면 좋은 질문

현장에서 본 비슷한 케이스

개인 노트

The mTLS certificate chain validates externally, but the internal proxy strips the client certificate header on HTTP/2 upgrade and backend auth fails only there

현재 상황

조사할 단서

이 문제에서 먼저 볼 것

점검 체크리스트

원인과 복구 방향 정리하기

막히는 지점부터 차례대로 확인하기

이 문제를 찾는 흐름

흔한 오진

실무에서 기억할 포인트

같이 보면 좋은 질문

현장에서 본 비슷한 케이스

개인 노트

다음으로 이어서 보기 좋은 문제

A mutual TLS path validates at the edge while revocation checks or identity forwarding fail later in the request chain after a maintenance template change

A mutual TLS path validates at the edge while revocation checks or identity forwarding fail later in the request chain during a failover rehearsal

A mutual TLS path validates at the edge while revocation checks or identity forwarding fail later in the request chain after an environment identity rename

A mutual TLS path validates at the edge while revocation checks or identity forwarding fail later in the request chain after a control-plane upgrade