DNS CAA 레코드 및 작성 방법

저자: gc(at) sysin.org, 홈 페이지: www.sysin.org

CAA 정보

도메인의 ID를 보장하기 위해 SSL 인증서를 발급할 수 있는 100개 이상의 인증 기관입니다.대부분의 지역 소유자와 같으면, 몇몇 인증 기관에서만 인증서를 받을 수 있습니다.CAA(Certificate Authority Authorization, Certification Authorization, Certificate Authorization, Certification Authorization Authorization Authorization Authorization Authorization Authori
CAA를 사용하는 이유는 다음과 같습니다.

귀하는 안전하지 않은 증서 발급 기구로부터의 위험을 낮추기를 원합니다.CAA를 사용하여 신뢰할 수 있는 인증 기관으로 도메인을 제한할 수 있으며, 인증 기관은 인증서를 발급하지 않습니다.

직원이 권한을 부여받지 않은 공급업체에서 인증서를 받지 못하도록 막고자 합니다.

CAA 설치는 쉽습니다.인증서 발급 기관을 확인하려면 간편한 CAA 빌더를 사용하십시오.그런 다음 도메인의 DNS에 생성된 DNS 레코드를 게시합니다.도메인은 CAA를 지원하는 DNS 공급업체에서 호스팅해야 합니다.다행히도, 주요 DNS 공급자들은 현재 CAA를 지원하고 있다.
CAA는 RFC 6844에서 정의한 IETF 표준입니다.2017년 9월 8일부터 모든 공공인증서 발급기관은 CAA 기록을 준수해야 한다.도메인에 인증서를 발급하기 전에 도메인의 CAA 레코드를 검토해야 하며 CAA 레코드세트에 인증서가 없으면 인증서 발급을 거부합니다.CAA 레코드가 없으면 게시할 수 있습니다.

CAA 및 하위 도메인

도메인의 CAA 레코드세트는 모든 하위 도메인에도 적용됩니다.하위 도메인에 자체 CAA 레코드세트가 있는 경우 이 레코드세트가 우선합니다.
예를 들어 증서 발급 기구가 증서를 발급하기 전에 www.example.com 웹 사이트는 도메인의 CAA 레코드세트를 다음 순서로 조회하고 첫 번째 레코드세트를 사용합니다.
www.example.com
example.com

CAA 및 CNAME

도메인 이름이 다른 도메인의 CNAME(별칭)인 경우 CAA 레코드세트도 CNAME 대상과 대상의 모든 상위 도메인에서 인증서 발급 기관에서 찾습니다.CAA 레코드세트를 찾지 못하면 인증 기관에서 원래 도메인의 상위 도메인을 계속 검색합니다.
예를 들어 블로그.example.com 네, CNAME Blog.example.net의 경우 인증 기관에서 CAA 레코드세트를 다음 순서로 찾습니다.
blog.example.net
example.net
example.com

제한성

CAA가 어떻게 말하든지 간에 악의적이거나 완전히 파괴된 인증서 발급 기관은 당신의 영역에 인증서를 발급할 수 있습니다.또한 DNS 레코드는 강력한 ***자에게 속아 인증서 발급 기관에서 권한을 부여받았다고 판단할 수 있습니다.
그러나 실제로 CAA는 인증 기관에서 최근에 발생한 보안 취약점으로부터 도메인 소유자를 보호합니다.한계에도 불구하고 CAA 정책을 발표하는 것은 매우 현명한 안전 조치이다.
보안을 강화하려면 인증서 투명도 모니터(예: Cert Spotter)를 사용하여 발급된 인증서가 CAA 정책을 위반할 경우 경고합니다.

CAA 지원 DNS

서비스 업체

주류 도메인 이름 서비스 업체인 국내, 예를 들어 아리 클라우드 해석 DNS와DSNPOD(텐센트 클라우드), 외국의 Cloudflare,Azure DNS,AWS Route 53과 Google Cloud DNS 등은 모두 CAA 기록을 지원할 수 있다.
추가 공급업체 목록은 다음을 참조하십시오.https://sslmate.com/caa/support

소프트웨어

Software/Provider
Support
Comments
BIND
Yes
Prior to version 9.9.6 use RFC 3597 syntax
dnsmasq
Yes
Use --dns-rr option with hex data
Knot DNS
≥2.2.0
ldns
≥1.6.17
NSD
Yes
Prior to version 4.0.1 use RFC 3597 syntax
OpenDNSSEC
Yes
With ldns ≥1.6.17
PowerDNS
≥4.0.0
Versions 4.0.3 and below are buggy when DNSSEC is enabled.
Simple DNS Plus
≥6.0
tinydns
Yes
Use generic record syntax
Windows Server 2016
Yes
Use RFC 3597 syntax

CAA 레코드 형식

CAA 레코드는 다음 요소로 구성됩니다.
라벨
묘사
flag
0-255 사이의 부호 없는 정수
tag
RFC에 정의된 주요 플래그를 나타냅니다.
value
tag와 관련된 값
CAA 레코드의 사양 표현은 다음과 같습니다.

CAA   

RFC는 현재 3가지 태그를 정의합니다.

issue: 단일 인증서 발급 기구에 호스트 이름을 발급할 수 있는 인증서(모든 유형)를 명확하게 수여한다.

issuewild: 단일 인증서 발급 기구가 호스트 이름에 어댑터 인증서를 발급할 수 있도록 명확하게 권한을 부여한다(어댑터만 있다).

iodef: 인증 기관이 정책 위반을 보고할 수 있는 URL이나 메일박스를 지정합니다.

CAA 레코드 작성

사용 가능https://sslmate.com/caa/를 참고하십시오. 예:

Name          Type  Value
sysin.org.  CAA   0 issue "digicert.com"
                  0 issue "letsencrypt.org"

CAA 레코드 추가

레코드 유형 선택 CAA

Name 또는 호스트 레코드 작성@은 최상위 도메인을 나타내며 다중 도메인에 자동으로 적용됩니다.

기록치 작성0 issue " ".만약 당신이 Let's Encrypt에서 발급한 무료 증서를 사용한다면 CAA data 부분에 직접 0 issue "letsencrypt.org"를 기입하면 됩니다.여러 개의 인증서 발급 기구를 허용하고 여러 개를 추가하면 된다.

당신은 0 iodef "mailto: "라는 CAA 기록을 추가할 수 있습니다. 만약에 CAA 기록에 어긋나는 상황이 발견되면 이 메일박스에 이메일로 통지할 수 있습니다.

검측하다

dig

# dig sslmate.com caa

; <<>> DiG 9.11.13-RedHat-9.11.13-5.el8_2 <<>> sslmate.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<

nslookup

# nslookup
> set type=caa
> sslmate.com
Server:         183.60.83.19
Address:        183.60.83.19#53

Non-authoritative answer:
sslmate.com     rdata_257 = 0 issuewild ";"
sslmate.com     rdata_257 = 0 iodef "mailto:[email protected]"
sslmate.com     rdata_257 = 0 issue "letsencrypt.org"
sslmate.com     rdata_257 = 0 issue "sectigo.com"

Authoritative answers can be found from:

SSL Test 온라인 테스트를 사용하면 다음과 같은 메시지가 표시됩니다.

DNS Certification Authority Authorization (CAA) Policy found for this domain.  MORE INFO »