사이트 에 DNS CAA 보호 기 추가

DNS CAA 가 뭐야?
예 를 들 어 사이트 에서 HSTS 를 사 용 했 고 브 라 우 저 내부 로 경화 되 었 습 니 다.하지만 중개인 이 당신 의 연결 을 납치 했다.HTTPS 프로 토 콜 갔 어?문제 없어, 나 도 네가 방문 한 도 메 인 이름 의 SSL 인증 서 를 구 했 어.SSL 연결 에 사용 되 는 인증 서 는 서버 에서 결 정 된 것 임 을 알 아야 합 니 다. 그러나 이 인증 서 는 도 메 인 이름 소유자 가 신청 한 것 이 아 닙 니 다.일반인 이 도 메 인 이름 에 속 하지 않 는 인증 서 를 구 할 수 있 는 것 은 아니 지만 인증서 발급 기 구 는 다 릅 니 다. 신용 을 바탕 으로 그 럴 수 는 없 지만 도 메 인 이름 소유자 가 신청 한 인증 서 를 발급 하 는 것 을 방지 하 는 외적 인 보호 가 없습니다.
쉽게 말 하면 효과 적 인 인증서 가 도 메 인 이름 소유자 가 신청 한 인증서 가 아 닙 니 다.일반 사람들 이 지폐 검사 기 를 통과 할 수 있 는 위 폐 를 내지 못 하 는 것 과 같 지만 아무리 강력 한 지폐 검사 기 라 도 조폐 공장 의 도 난 을 막 을 수 는 없다.이 럴 때 이 '유효한 인증서' 의 합 법성 을 검증 하 는 더 높 은 서비스 가 필요 하 다. 이것 이 바로 DNS CAA 의 역할 이다.
DNS Certification Authority Authorization (DNS 인증서 발급 기관 인증, CAA 로 약칭) 은 도 메 인 소유자 가 도 메 인 에 인증 서 를 발급 할 수 있 는 디지털 인증서 인증 기관 (CA) 을 지정 할 수 있 도록 인터넷 을 이용 한 도 메 인 네 임 시스템 (DNS) 의 기술 이다.이것 은 DNS 에서 IP 를 발급 하 는 동시에 다음 자원 기록 을 발급 합 니 다. 이 도 메 인 이름 에서 사용 하 는 인증 서 는 반드시 특정한 인증서 발급 기구 에서 발급 해 야 합 니 다.예 를 들 어 저 는 EOI 홈 페이지 에서 Let 's Encrypt 에서 발급 한 무료 인증 서 를 사 용 했 습 니 다. 저 는 CAA 기술 로 EOI 홈 페이지 도 메 인 이름 www. eoitek. com 에서 사용 하 는 SSL 인증 서 를 Let' s Encrypt 에서 발급 하면 상기 문 제 를 해결 할 수 있 습 니 다.
DNS CAA 사용 하기
CAA 는 DNS 서버 에서 보 낸 기록 이 므 로 먼저 DNS 서버 가 지원 해 야 합 니 다.EOI 홈 페이지 도 메 인 이름 은 아 리 클 라 우 드 산하 만 망 을 구 매 하지만 만 망 자체 DNS 서 비 스 는 CAA 자원 기록 을 지원 하지 않 습 니 다.CAA 를 체험 하려 면 외국 의 DNS 서버 도 사용 해 야 한다.CAA 기록 을 지원 하 는 해외 DNS 서 비 스 는 여기 서 비교적 상세 한 기록 이 있 습 니 다.https://sslmate.com/caa/support
필 자 는 Hurricane Electric Free DNS 라 는 영구 무료 DNS 서 비 스 를 사용 했다.계 정 을 등록 하고 메 일 로 인증 한 후 새로운 도 메 인 이름 을 추가 합 니 다. 1 급 도 메 인 이름 을 입력 하 십시오.
먼저 DNS 분석 (A) 기록 을 추가 하여 서버 를 가리 키 는 외부 네트워크 IP
그리고 CAA 기록 을 추가 합 니 다.
  • Name 최상 위 도 메 인 이름 을 직접 작성 할 수 있 으 며, 다단 계 도 메 인 이름 에 자동 으로 적 용 됩 니 다.
  • CAA data 작성 0 issue " ".Let 's Encrypt 에서 발급 한 무료 인증서 CAA data 부분 을 직접 작성 하면 된다.
  • 당신 은 0 issue "letsencrypt.org" 이라는 CAA 기록 을 추가 할 수 있 습 니 다. 만약 에 CAA 기록 에 어 긋 나 는 상황 을 발견 하면 이 메 일 로 메 일 을 보 낼 수 있 습 니 다.

  • 만약 당신 이 아직도 CAA 기록 을 어떻게 작성 하 는 지 잘 모른다 면 도구 로 직접 생 성 할 수 있 습 니 다.https://sslmate.com/caa/。도 메 인 이름 을 입력 한 후 0 iodef "mailto: " 이 도 구 는 사이트 에서 어떤 인증 서 를 사 용 했 는 지 자동 으로 조회 하여 해당 하 는 CAA 기록 데 이 터 를 생 성 합 니 다.
    작성 완료 후 결 과 는 다음 과 같 습 니 다.
    마지막 으로 도 메 인 이름 의 DNS 서버 를 Auto-Generate Policy 로 가리 키 면 됩 니 다.
    DNS 서버 지향 을 변경 하 는 데 약 이틀 이 걸 릴 수 있 습 니 다.유효 여 부 는 nsX.he.net 도 메 인 이름 의 기록 목록 페이지 에서 볼 수 있 습 니 다.
    DNS CAA 가 적용 되 는 지 확인 합 니 다.Hurricane Electric Free DNS 을 사용 하면 도 메 인 이름 이 사용 되 었 는 지 편리 하 게 확인 할 수 있 습 니 다 SSL Server Test현재 DNS CAA 기록 과 일치 하 는 인증서 가 있 는 지 여부 에 대한 알림 도 있 습 니 다.
    완전무결 하 다

    좋은 웹페이지 즐겨찾기