캐디와 함께 A+ SSL 받기
Note: This tutorial is only usable with Caddy Server.
DNS CAA
DNS CAA(또는 DNS 인증 기관 권한 부여)는 특정 인증 기관을 신뢰할 수 있는 것으로 표시할 수 있는 보안 메커니즘입니다.
예를 들어 Let's Encrypt 인증서를 사용하는 경우 도메인에 유효한 인증서를 만들려면
letsencrypt.org
를 허용해야 합니다.이 확인 수준을 추가하려면 도메인의 DNS에 CAA 레코드를 추가해야 합니다.
텍스트만 있는 레코드는 다음과 같습니다.
your.domain. CAA 0 issue "letsencrypt.org"
헤더
A+ 점수를 얻으려면 아래와 같이 몇 가지 헤더를 설정해야 합니다.
header {
X-Frame-Options "Deny"
Content-Security-Policy "
default-src 'none';
style-src 'self';
script-src 'self';
font-src 'self';
img-src data: 'self';
form-action 'self';
connect-src 'self';
frame-ancestors 'none';
base-uri 'self';
report-uri {$CSP_REPORT_URI}
"
X-Content-Type-Options "nosniff"
Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
}
이 모든 것들이 무엇을 하는지 볼까요?
X-Frame-Options "Deny"
다른 페이지나 웹 사이트에서 귀하의 도메인을 참조하는 포함, 프레임, iframe 및 개체를 추가하는 것을 허용하지 않습니다. 또는 Deny
대신 SAMEORIGIN
로 설정하여 웹사이트에서 사용할 수 있습니다. X-Content-Type-Options "nosniff"
는 MIME Sniffing을 방지하는 데 사용됩니다.Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
는 max-age
매개변수로 지정된 기간(이 경우 1년) 동안 도메인에 유효한 HTTPS 인증서를 갖도록 강제합니다. HTTPS 인증서가 없으면 브라우저에 오류가 표시됩니다. includeSubDomains
지시문이 사용되므로 STS가 모든 하위 도메인에도 적용됩니다. Content-Security-Policy
는 멀리 떨어진 도메인에서 리소스(예: CSS 또는 JavaScript 파일)를 로드하도록 허용하거나 허용하지 않는 광범위한 정책입니다. 제공된 구성은 현재 도메인이 일부 사용 사례에서 문제가 될 수 있는 파일을 로드하는 것만 허용합니다. 도메인이 리소스를 로드하도록 허용하려면 self
뒤에 추가하면 됩니다. 예: style-src 'self' CDN.domain.TLD;
종말의 말씀
축하해요!
지금 준비해야 합니다. 남은 작업은 SSL Labs과 같은 도구를 사용하여 설정을 테스트하는 것입니다.
Reference
이 문제에 관하여(캐디와 함께 A+ SSL 받기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/jae/obtaining-a-ssl-w-caddy-mog텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)