SSL 발급시 DNS CAA 레코드 삭제 필요


DCV 인증 설정을 정확하게 했는데도, SSL 인증서 발급 완료가 되지 않는 경우가 있습니다. 일부에서 CAA 레코드를 설정 해 놓은후, SSL 인증서 발급이 안된다고 하는 경우가 해당됩니다.

이는, '나는 이런 이런 인증서 거부하겠다' 라는 표시 입니다.  인증기관 CA 에서는 CAA 를 참조합니다. CAA 설정 자체가 부정 발급 방지 목적이긴 하나,. 실질적으로는... 의도 만큼 의미가 있지 않습니다.

브랜드나 타입 발급 제한일 뿐, CAA 있다고 해서 부정 발급이 완전 차된 되는것은 아닙니다.

그러므로, 글로벌 인증기관 CA 의 SSL 인증서를 발급 받으려면, 해당 도메인이 설정된 DNS 서버에서 CAA 레코드를 모두 삭제하는것이 권장됩니다.

발급 특정 브랜드용 CAA 레코드 추가가 아니라, 그냥 모든 CAA 레코드를 삭제가 필요합니다.

 

CAA 설정되어 있는 예)

 

 

https://dnslookup.online/caa.html  같은 CAA 레코드 조회 사이트에서, 조회시 위와 같은 CAA 레코드 값이 조회되지 않도록 DNS 설정이 필요합니다.

CAA 레코드 삭제 적용을 한지 얼마 안된 경우에는, 기존 케시값 때문에, CA 에서 확인되지 않을수 있습니다. 그런 경우에는, 해당 도메인의 TTL 값 설정에 따라 다르지만, CA 에서 변경된값이 확인될때까지,  최소 2~3시간 이상은 기다려야 할수도 있습니다.

 

 



댓글

댓글 쓰기

이 블로그의 인기 게시물

해외에서 HTTP/s DCV 파일 접근 가능 여부 테스트 확인하기

    DCV (DomainControlValidation, 도메인제어유효성검사) 방법 안내 - SecureSign DCV (DomainControlValidation, 도메인제어유효성검사) 방법 안내 - SecureSign www.sslcert.co.kr   SSL 인증서 발급시 HTTP/s 인증 방법을 선택한 경우에는,  실제 검사는 해외에 있는 CA 본사 시스템에서 접근을 하기 때문에, 해외 접근 허용이 필수적입니다. 국내에서 HTTP 인증용 txt URL 접근이 정상적이어도, 해외에서의 접근을 차단해 놓으면, SSL 인증서는 발급되지 않습니다. 그래서 아래와 같이 해외 접근 테스트 확인을 꼭 해보셔야 합니다.   SSL 발급시 DCV 검증은, 해외에 있는 인증기관 Sectigo,DigiCert CA 에서만 진행합니다. 한국에 있는 SecureSign 에서 DCV 검증을 하는 것이 아닙니다. 아래의 해외 접근 테스트에서 정상적으로 보였더라도, CA 에서 확인이 안되면 발급이 되지 않습니다. Sectigo 의 경우, 인증용 .txt 파일 외 다른 컨텐츠(css,html,js...) 등등을 반환하면 인증 통과가 안됩니다. (테스트에서 접근 확인된다고 해서, CA 에서도 100% 동일하게 확인된다는 보장은 없음)   접근 테스트 사이트 해볼수 있는 사이트는 여러가지 있지만, 가장 심플하게 테스트 해볼수 있는 아래 사이트 기준으로 예제 입니다.  (1/2 모두 테스트 권장)     1) https://www.webpagetest.org/     HTTP,HTTS 인증용 URL 입력하여 테스트 진행합니다. (Test Location 은 해외 몇 군데 바꿔서 해봐도 모두 정상 접속되어야 합니다) 테스트는 몇초에서 몇십초 소요되며, 완료시 아래와 같은 결과 페이지를 보여줍니다.
자세한 내용 보기

와일드카드(Wildcard) SSL 인증서 가격 종류 비교

Wildcard Domain SSL 인증서 상품 - 무제한 서브(*.) 도메인에 SSL 인증서 적용       1년 배상금   GoGetSSL Wildcard   ₩ 90,000 $ 50,000 상세보기 Sectigo PositiveSSL Wildcard   ₩ 110,000 $ 10,000 상세보기 RapidSSL Wildcard   ₩ 140,000 $ 10,000 상세보기 AlphaSSL Wildcard   ₩ 88,000 $ 10,000 상세보기 Sectigo Essential Wildcard   ₩ 157,000 $ 10,000 상세보기 Sectigo SSL Wildcard   ₩ 340,000 $ 250,000 상세보기 Thawte SSL 123 Wildcard   ₩ 390,000 $ 500,000 상세보기 GeoTrust QuickSSL Premium Wildcard   ₩ 390,000 $ 500,000 상세보기 Sectigo Premium SSL Wildcard (OV)   ₩ 520,000 $ 250,000 상세보기 GlobalSign Domain SSL Wildcard   ₩ 650,000 $ 10,000 상세보기 GeoTrust True BusinessID Wildcard (OV)   ₩ 680,000 $ 1,250,000 상세보기 Thawte SSL Web Server Wildcard (OV)   ₩ 710,000 $ 1,250,000 상세보기   SSL 인증서 가격은 상시 변동하므로, www.sslcert.co.kr 에 접속하여 재차 확인 바랍니다.    
자세한 내용 보기

SSL 인증서 DCV 인증 - DNS CNAME 레코드 설정 예제

  ■ 1. 신청한 도메인의 DCV 인증방법이 DNS CNAME 인증인지 확인  SSL 인증서 발급 신청후, DCV 설정 페이지에는, 선택한 인증에 대한 필요 레코드값이 표시가 되어 있습니다. 이 값을 이용해서, SSL 발급 신청한 도메인이 설정된 DNS 서버에, 설정하면 됩니다. 절차 : SSL 발급 신청 ▷ DCV 설정 페이지 ▷ CNAME 레코드값 확인 ▷ 발급 신청 도메인이 설정된 DNS 서버 ▷ CNAME 레코드 설정 ▷ 정상적으로 설정된것인지 조회 테스트 ▷ 발급 완료 대기   ■ 2. 신청한 도메인이 설정된 DNS 서버 확인하기 https://후이즈검색.한국/kor/whois/whois.jsp    https://www.whois.com/whois/   DNS 서버에 CNAME 설정에 대한 자세한 방법은, 발급 도메인이 설정된 해당 DNS 서버를 관리하는 서버관리자 또는 DNS 서비스 제공 회사에 문의해야 합니다.   (SecureSign 에서는 '설정법 설명 및 대행 설정' 지원 불가)    ■ 3. 도메인의 DNS 서버에  CNAME 레코드 설정(추가) 하기 *** 아래 내용은, 해당 서비스 제공사의 내부 정책에 따라서 언제든지 변경될수 있으며, 그에 따라 아래 설정법이 맞지 않을수도 있습니다 (제공사 고객센터 문의 필수) *** SubDomain FQDN 경우, 다중 서브 호스트 입력이 제한된(원칙은 제한이 없어야 하는게 표준 방식) 일부 Web DNS 에서는 "도메인 Root 에서 설정" 해보시기 바랍니다.    ▼ 클라우드플레어 DNS 서비스 설정 예     ▼ 가비아 DNS 설정 가이드 (가비아 고객 센터에  설정법   문의) https://customer.gabia.com/manual/dns/3041/3040 https://imweb.me/faq?mode=view&category=29&category2=34&idx=71740         ▼ 카페24 DNS 설정 가이드 (카페24
자세한 내용 보기