사이트 에 DNS CAA 보호 기 추가
예 를 들 어 사이트 에서 HSTS 를 사 용 했 고 브 라 우 저 내부 로 경화 되 었 습 니 다.하지만 중개인 이 당신 의 연결 을 납치 했다.HTTPS 프로 토 콜 갔 어?문제 없어, 나 도 네가 방문 한 도 메 인 이름 의 SSL 인증 서 를 구 했 어.SSL 연결 에 사용 되 는 인증 서 는 서버 에서 결 정 된 것 임 을 알 아야 합 니 다. 그러나 이 인증 서 는 도 메 인 이름 소유자 가 신청 한 것 이 아 닙 니 다.일반인 이 도 메 인 이름 에 속 하지 않 는 인증 서 를 구 할 수 있 는 것 은 아니 지만 인증서 발급 기 구 는 다 릅 니 다. 신용 을 바탕 으로 그 럴 수 는 없 지만 도 메 인 이름 소유자 가 신청 한 인증 서 를 발급 하 는 것 을 방지 하 는 외적 인 보호 가 없습니다.
쉽게 말 하면 효과 적 인 인증서 가 도 메 인 이름 소유자 가 신청 한 인증서 가 아 닙 니 다.일반 사람들 이 지폐 검사 기 를 통과 할 수 있 는 위 폐 를 내지 못 하 는 것 과 같 지만 아무리 강력 한 지폐 검사 기 라 도 조폐 공장 의 도 난 을 막 을 수 는 없다.이 럴 때 이 '유효한 인증서' 의 합 법성 을 검증 하 는 더 높 은 서비스 가 필요 하 다. 이것 이 바로 DNS CAA 의 역할 이다.
DNS Certification Authority Authorization (DNS 인증서 발급 기관 인증, CAA 로 약칭) 은 도 메 인 소유자 가 도 메 인 에 인증 서 를 발급 할 수 있 는 디지털 인증서 인증 기관 (CA) 을 지정 할 수 있 도록 인터넷 을 이용 한 도 메 인 네 임 시스템 (DNS) 의 기술 이다.이것 은 DNS 에서 IP 를 발급 하 는 동시에 다음 자원 기록 을 발급 합 니 다. 이 도 메 인 이름 에서 사용 하 는 인증 서 는 반드시 특정한 인증서 발급 기구 에서 발급 해 야 합 니 다.예 를 들 어 저 는 EOI 홈 페이지 에서 Let 's Encrypt 에서 발급 한 무료 인증 서 를 사 용 했 습 니 다. 저 는 CAA 기술 로 EOI 홈 페이지 도 메 인 이름 www. eoitek. com 에서 사용 하 는 SSL 인증 서 를 Let' s Encrypt 에서 발급 하면 상기 문 제 를 해결 할 수 있 습 니 다.
DNS CAA 사용 하기
CAA 는 DNS 서버 에서 보 낸 기록 이 므 로 먼저 DNS 서버 가 지원 해 야 합 니 다.EOI 홈 페이지 도 메 인 이름 은 아 리 클 라 우 드 산하 만 망 을 구 매 하지만 만 망 자체 DNS 서 비 스 는 CAA 자원 기록 을 지원 하지 않 습 니 다.CAA 를 체험 하려 면 외국 의 DNS 서버 도 사용 해 야 한다.CAA 기록 을 지원 하 는 해외 DNS 서 비 스 는 여기 서 비교적 상세 한 기록 이 있 습 니 다.https://sslmate.com/caa/support
필 자 는 Hurricane Electric Free DNS 라 는 영구 무료 DNS 서 비 스 를 사용 했다.계 정 을 등록 하고 메 일 로 인증 한 후 새로운 도 메 인 이름 을 추가 합 니 다. 1 급 도 메 인 이름 을 입력 하 십시오.
먼저 DNS 분석 (A) 기록 을 추가 하여 서버 를 가리 키 는 외부 네트워크 IP
그리고 CAA 기록 을 추가 합 니 다.
0 issue " "
.Let 's Encrypt 에서 발급 한 무료 인증서 CAA data
부분 을 직접 작성 하면 된다.0 issue "letsencrypt.org"
이라는 CAA 기록 을 추가 할 수 있 습 니 다. 만약 에 CAA 기록 에 어 긋 나 는 상황 을 발견 하면 이 메 일 로 메 일 을 보 낼 수 있 습 니 다.만약 당신 이 아직도 CAA 기록 을 어떻게 작성 하 는 지 잘 모른다 면 도구 로 직접 생 성 할 수 있 습 니 다.https://sslmate.com/caa/。도 메 인 이름 을 입력 한 후
0 iodef "mailto: "
이 도 구 는 사이트 에서 어떤 인증 서 를 사 용 했 는 지 자동 으로 조회 하여 해당 하 는 CAA 기록 데 이 터 를 생 성 합 니 다.작성 완료 후 결 과 는 다음 과 같 습 니 다.
마지막 으로 도 메 인 이름 의 DNS 서버 를
Auto-Generate Policy
로 가리 키 면 됩 니 다.DNS 서버 지향 을 변경 하 는 데 약 이틀 이 걸 릴 수 있 습 니 다.유효 여 부 는
nsX.he.net
도 메 인 이름 의 기록 목록 페이지 에서 볼 수 있 습 니 다.DNS CAA 가 적용 되 는 지 확인 합 니 다.
Hurricane Electric Free DNS
을 사용 하면 도 메 인 이름 이 사용 되 었 는 지 편리 하 게 확인 할 수 있 습 니 다 SSL Server Test
현재 DNS CAA 기록 과 일치 하 는 인증서 가 있 는 지 여부 에 대한 알림 도 있 습 니 다.완전무결 하 다
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
AWS로 증명서를 발행해 봤습니다.개인 개발에 증명서가 필요하기 때문에 ACM(AWS Certificate Manager)으로 증명서를 작성했습니다. Route 53 콘솔의 탐색 창에서 도메인 > 등록된 도메인을 엽니다. 도메인 등록 을 클릭합니다....
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.