SSL 발급시 DNS CAA 레코드 삭제 필요


DCV 인증 설정을 정확하게 했는데도, SSL 인증서 발급 완료가 되지 않는 경우가 있습니다. 일부에서 CAA 레코드를 설정 해 놓은후, SSL 인증서 발급이 안된다고 하는 경우가 해당됩니다.

이는, '나는 이런 이런 인증서 거부하겠다' 라는 표시 입니다.  인증기관 CA 에서는 CAA 를 참조합니다. CAA 설정 자체가 부정 발급 방지 목적이긴 하나,. 실질적으로는... 의도 만큼 의미가 있지 않습니다.

브랜드나 타입 발급 제한일 뿐, CAA 있다고 해서 부정 발급이 완전 차된 되는것은 아닙니다.

그러므로, 글로벌 인증기관 CA 의 SSL 인증서를 발급 받으려면, 해당 도메인이 설정된 DNS 서버에서 CAA 레코드를 모두 삭제하는것이 권장됩니다.

발급 특정 브랜드용 CAA 레코드 추가가 아니라, 그냥 모든 CAA 레코드를 삭제가 필요합니다.

 

CAA 설정되어 있는 예)

 

 

https://dnslookup.online/caa.html  같은 CAA 레코드 조회 사이트에서, 조회시 위와 같은 CAA 레코드 값이 조회되지 않도록 DNS 설정이 필요합니다.

CAA 레코드 삭제 적용을 한지 얼마 안된 경우에는, 기존 케시값 때문에, CA 에서 확인되지 않을수 있습니다. 그런 경우에는, 해당 도메인의 TTL 값 설정에 따라 다르지만, CA 에서 변경된값이 확인될때까지,  최소 2~3시간 이상은 기다려야 할수도 있습니다.

 

 



댓글

이 블로그의 인기 게시물

SSL 인증서 DCV 인증 - DNS CNAME 레코드 설정 예제

해외에서 HTTP/s DCV 파일 접근 가능 여부 테스트 확인하기

도메인이 설정된 DNS 서버를 찾는 방법