DNS CAA 레코드 및 작성 방법
CAA 정보
도메인의 ID를 보장하기 위해 SSL 인증서를 발급할 수 있는 100개 이상의 인증 기관입니다.대부분의 지역 소유자와 같으면, 몇몇 인증 기관에서만 인증서를 받을 수 있습니다.CAA(Certificate Authority Authorization, Certification Authorization, Certificate Authorization, Certification Authorization Authorization Authorization Authorization Authorization Authori
CAA를 사용하는 이유는 다음과 같습니다.
CAA 설치는 쉽습니다.인증서 발급 기관을 확인하려면 간편한 CAA 빌더를 사용하십시오.그런 다음 도메인의 DNS에 생성된 DNS 레코드를 게시합니다.도메인은 CAA를 지원하는 DNS 공급업체에서 호스팅해야 합니다.다행히도, 주요 DNS 공급자들은 현재 CAA를 지원하고 있다.
CAA는 RFC 6844에서 정의한 IETF 표준입니다.2017년 9월 8일부터 모든 공공인증서 발급기관은 CAA 기록을 준수해야 한다.도메인에 인증서를 발급하기 전에 도메인의 CAA 레코드를 검토해야 하며 CAA 레코드세트에 인증서가 없으면 인증서 발급을 거부합니다.CAA 레코드가 없으면 게시할 수 있습니다.
CAA 및 하위 도메인
도메인의 CAA 레코드세트는 모든 하위 도메인에도 적용됩니다.하위 도메인에 자체 CAA 레코드세트가 있는 경우 이 레코드세트가 우선합니다.
예를 들어 증서 발급 기구가 증서를 발급하기 전에 www.example.com 웹 사이트는 도메인의 CAA 레코드세트를 다음 순서로 조회하고 첫 번째 레코드세트를 사용합니다.
www.example.com
example.com
CAA 및 CNAME
도메인 이름이 다른 도메인의 CNAME(별칭)인 경우 CAA 레코드세트도 CNAME 대상과 대상의 모든 상위 도메인에서 인증서 발급 기관에서 찾습니다.CAA 레코드세트를 찾지 못하면 인증 기관에서 원래 도메인의 상위 도메인을 계속 검색합니다.
예를 들어 블로그.example.com 네, CNAME Blog.example.net의 경우 인증 기관에서 CAA 레코드세트를 다음 순서로 찾습니다.
blog.example.net
example.net
example.com
제한성
CAA가 어떻게 말하든지 간에 악의적이거나 완전히 파괴된 인증서 발급 기관은 당신의 영역에 인증서를 발급할 수 있습니다.또한 DNS 레코드는 강력한 ***자에게 속아 인증서 발급 기관에서 권한을 부여받았다고 판단할 수 있습니다.
그러나 실제로 CAA는 인증 기관에서 최근에 발생한 보안 취약점으로부터 도메인 소유자를 보호합니다.한계에도 불구하고 CAA 정책을 발표하는 것은 매우 현명한 안전 조치이다.
보안을 강화하려면 인증서 투명도 모니터(예: Cert Spotter)를 사용하여 발급된 인증서가 CAA 정책을 위반할 경우 경고합니다.
CAA 지원 DNS
서비스 업체
주류 도메인 이름 서비스 업체인 국내, 예를 들어 아리 클라우드 해석 DNS와DSNPOD(텐센트 클라우드), 외국의 Cloudflare,Azure DNS,AWS Route 53과 Google Cloud DNS 등은 모두 CAA 기록을 지원할 수 있다.
추가 공급업체 목록은 다음을 참조하십시오.https://sslmate.com/caa/support
소프트웨어
Software/Provider
Support
Comments
BIND
Yes
Prior to version 9.9.6 use RFC 3597 syntax
dnsmasq
Yes
Use --dns-rr option with hex data
Knot DNS
≥2.2.0
ldns
≥1.6.17
NSD
Yes
Prior to version 4.0.1 use RFC 3597 syntax
OpenDNSSEC
Yes
With ldns ≥1.6.17
PowerDNS
≥4.0.0
Versions 4.0.3 and below are buggy when DNSSEC is enabled.
Simple DNS Plus
≥6.0
tinydns
Yes
Use generic record syntax
Windows Server 2016
Yes
Use RFC 3597 syntax
CAA 레코드 형식
CAA 레코드는 다음 요소로 구성됩니다.
라벨
묘사
flag
0-255 사이의 부호 없는 정수
tag
RFC에 정의된 주요 플래그를 나타냅니다.
value
tag와 관련된 값
CAA 레코드의 사양 표현은 다음과 같습니다.
CAA
RFC는 현재 3가지 태그를 정의합니다.
issue
: 단일 인증서 발급 기구에 호스트 이름을 발급할 수 있는 인증서(모든 유형)를 명확하게 수여한다.issuewild
: 단일 인증서 발급 기구가 호스트 이름에 어댑터 인증서를 발급할 수 있도록 명확하게 권한을 부여한다(어댑터만 있다).iodef
: 인증 기관이 정책 위반을 보고할 수 있는 URL이나 메일박스를 지정합니다.CAA 레코드 작성
사용 가능https://sslmate.com/caa/를 참고하십시오. 예:
Name Type Value
sysin.org. CAA 0 issue "digicert.com"
0 issue "letsencrypt.org"
CAA 레코드 추가
0 issue " "
.만약 당신이 Let's Encrypt에서 발급한 무료 증서를 사용한다면 CAA data
부분에 직접 0 issue "letsencrypt.org"
를 기입하면 됩니다.여러 개의 인증서 발급 기구를 허용하고 여러 개를 추가하면 된다.0 iodef "mailto: "
라는 CAA 기록을 추가할 수 있습니다. 만약에 CAA 기록에 어긋나는 상황이 발견되면 이 메일박스에 이메일로 통지할 수 있습니다.검측하다
dig
# dig sslmate.com caa
; <<>> DiG 9.11.13-RedHat-9.11.13-5.el8_2 <<>> sslmate.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<
nslookup
# nslookup
> set type=caa
> sslmate.com
Server: 183.60.83.19
Address: 183.60.83.19#53
Non-authoritative answer:
sslmate.com rdata_257 = 0 issuewild ";"
sslmate.com rdata_257 = 0 iodef "mailto:[email protected]"
sslmate.com rdata_257 = 0 issue "letsencrypt.org"
sslmate.com rdata_257 = 0 issue "sectigo.com"
Authoritative answers can be found from:
SSL Test 온라인 테스트를 사용하면 다음과 같은 메시지가 표시됩니다.
DNS Certification Authority Authorization (CAA) Policy found for this domain. MORE INFO »
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
[CS] HTTP/네트워크 기초 Day-37HTTP를 이용해 주고 받는 메시지를 HTTP 메시지라고 부릅니다. 서버가 리소스를 전달하기 위한 API를 구축해놓아야 클라이언트가 이를 활용할 수 있습니다. HTTP 요청에는 메소드라는 것이 존재합니다. HTTP ...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.