인증기관 허가(CAA, Certificate Authority Authorization)
참조URL(한글) : https://letsencrypt.org/ko/docs/caa/
참조URL(영문) : https://letsencrypt.org/docs/caa/
개요
(letsencrypt 사이트 발췌… 귀챦아서.. ㅎ)
CAA는 사이트 소유자가 도메인 이름을 포함한 인증서를 발급할 수 있는 CA (인증 기관)를 지정할 수 있도록 하는 DNS 레코드 유형입니다.
CA가 의도하지 않은 인증서 오용의 위험을 줄이기 위해 RFC 6844에 의해 2013년에 표준화되었습니다.
기본적으로 모든 공용 CA는 공용 DNS의 모든 도메인 이름에 대한 인증서를 발급할 수 있습니다 (단, 해당 도메인 이름의 제어를 확인한 경우).
즉 많은 공용 CA의 유효성 검사 프로세스 중 하나에 버그가 있는 경우, 모든 도메인 이름이 잠재적으로 영향을 받습니다.
CAA는 도메인 소유자가 이 위험을 줄일 수 있는 방법을 제공합니다.
설명하는것은 여기 까지고.. ㅎ
좀 극단적으로 표현하자면
내 사이트의 인증서는 “여기(발급업체)” 에서 발급하는거야(여기 것만 유효한거야) 라는 표현정도랄까…
적용방법
DNS에 직접 작업을 진행하는 형태이고
만약 사용중인(또는 발급예정인) 인증기관이 “letsencrypt.org”라고 한다면
yourdomain.com. IN CAA 0 issue "letsencrypt.org" yourdomain.com. IN CAA 0 issuewild "letsencrypt.org"
이러한 형태로 레코드를 추가하면 되겠다.
보다 정확한 레코드 생성을 위해서는
https://sslmate.com/caa/
이곳에 접속해서
- 도메인 입력
- 조건 체크
등의 작업을 하면 바로 설정에 추가할 수 있도록 레코드 예시를 출력해준다
게다가, 각기 다른 네임서버 프로그램 별로 해준다.. ㄱㅅㄱㅅ