캐디와 함께 A+ SSL 받기

안녕하세요, 오늘은 SSL Labs에서 A+를 받는 방법을 알려드리겠습니다.

Note: This tutorial is only usable with Caddy Server.

DNS CAA

DNS CAA(또는 DNS 인증 기관 권한 부여)는 특정 인증 기관을 신뢰할 수 있는 것으로 표시할 수 있는 보안 메커니즘입니다.

예를 들어 Let's Encrypt 인증서를 사용하는 경우 도메인에 유효한 인증서를 만들려면 letsencrypt.org를 허용해야 합니다.

이 확인 수준을 추가하려면 도메인의 DNS에 CAA 레코드를 추가해야 합니다.



텍스트만 있는 레코드는 다음과 같습니다. your.domain. CAA 0 issue "letsencrypt.org"

헤더

A+ 점수를 얻으려면 아래와 같이 몇 가지 헤더를 설정해야 합니다.

header {
    X-Frame-Options "Deny"
    Content-Security-Policy "
        default-src 'none';
        style-src 'self';
        script-src 'self';
        font-src 'self';
        img-src data: 'self';
        form-action 'self';
        connect-src 'self';
        frame-ancestors 'none';
        base-uri 'self';
        report-uri {$CSP_REPORT_URI}
    "
    X-Content-Type-Options "nosniff"
    Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
}

이 모든 것들이 무엇을 하는지 볼까요?

X-Frame-Options "Deny" 다른 페이지나 웹 사이트에서 귀하의 도메인을 참조하는 포함, 프레임, iframe 및 개체를 추가하는 것을 허용하지 않습니다. 또는 Deny 대신 SAMEORIGIN로 설정하여 웹사이트에서 사용할 수 있습니다.

X-Content-Type-Options "nosniff"는 MIME Sniffing을 방지하는 데 사용됩니다.

Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"는 max-age 매개변수로 지정된 기간(이 경우 1년) 동안 도메인에 유효한 HTTPS 인증서를 갖도록 강제합니다. HTTPS 인증서가 없으면 브라우저에 오류가 표시됩니다. includeSubDomains 지시문이 사용되므로 STS가 모든 하위 도메인에도 적용됩니다.

Content-Security-Policy는 멀리 떨어진 도메인에서 리소스(예: CSS 또는 JavaScript 파일)를 로드하도록 허용하거나 허용하지 않는 광범위한 정책입니다. 제공된 구성은 현재 도메인이 일부 사용 사례에서 문제가 될 수 있는 파일을 로드하는 것만 허용합니다. 도메인이 리소스를 로드하도록 허용하려면 self 뒤에 추가하면 됩니다. 예: style-src 'self' CDN.domain.TLD;

종말의 말씀

축하해요!

지금 준비해야 합니다. 남은 작업은 SSL Labs과 같은 도구를 사용하여 설정을 테스트하는 것입니다.