네트워크 진단 도구

CAA 조회

어떤 CA가 인증서를 발급할 수 있는지

CAA 레코드란?

CAA(Certification Authority Authorization) 레코드는 도메인이 어떤 인증 기관(CA)이 자신에 대한 인증서를 발급할 수 있는지를 선언하게 해 줍니다. CA는 CA/Browser Forum의 요구에 따라 이 레코드를 준수해야 하므로, 잘못된 발급(CA가 귀하의 도메인에 대한 인증서를 잘못 발급하는 것)의 위험을 줄입니다. CAA는 TLS 인증서를 위한 간단하면서도 강력한 보호 장치입니다.

CAA 레코드의 작동 원리

CAA 레코드는 허용된 인증 기관을 그 도메인으로 지정합니다. 발급 전에 규정을 준수하는 CA는 귀하의 도메인에 대한 CAA 레코드를 확인하며, 레코드가 존재하는데 그 CA가 나열되어 있지 않으면 발급을 거부해야 합니다. 레코드는 세 부분으로 이루어집니다. 플래그, 태그, 값입니다. 흔한 태그는 issue(CA에 표준 인증서 발급을 인증), issuewild(와일드카드 인증서를 구체적으로 제어), iodef(CA가 정책 위반을 보고하는 URL 또는 mailto)입니다. 예를 들어 issue "letsencrypt.org"는 Let's Encrypt만 발급을 허용합니다.

CAA 조회 결과를 읽는 방법

IPeek는 도메인의 CAA 레코드를 각각의 태그 및 값과 함께 나열합니다. issue 태그를 읽어 어떤 CA가 인증되었는지 확인하세요. "letsencrypt.org"나 "digicert.com" 같은 값은 허용된 기관을 지정합니다. issuewild 태그는 와일드카드 인증서를 누가 발급할 수 있는지 제한합니다. issue 값이 ";"(세미콜론)이면 어떤 CA도 인증되지 않았다는 뜻입니다. 도메인에 CAA 레코드가 없으면 어떤 공용 CA든 발급할 수 있으며, 이것이 허용적인 기본값입니다. 나열된 CA가 실제로 인증서에 사용하는 제공업체와 일치하는지 확인하세요.

CAA 레코드가 인증서 보안을 강화하는 이유

CAA가 없으면 수십 개의 공용 인증 기관 중 어느 것이든 귀하의 도메인에 대한 인증서를 발급할 수 있으므로, 침해되거나 속은 CA 하나만 있어도 공격자가 유효한 인증서를 얻기에 충분합니다. CAA는 그 공격 표면을 귀하가 지정한 CA로만 좁힙니다. CA/Browser Forum이 CA에 발급 전 CAA 확인을 의무화하므로 이 보호는 업계 전반에 강제됩니다. iodef 태그를 추가하면 인증된 CA가 시도된 정책 위반을 알려 줄 수 있어, 받아서는 안 될 인증서를 누군가 얻으려 할 때 조기 경고를 받습니다.

자주 묻는 질문

도메인에 CAA 레코드가 없으면 어떻게 되나요?

CAA 레코드가 없으면 공개적으로 신뢰받는 어떤 인증 기관이든 도메인에 대한 인증서를 발급할 수 있습니다. 이것이 허용적인 기본값입니다. CAA 레코드를 추가하면 발급을 나열한 CA로만 제한합니다. 어떤 기관이 도메인을 인증할 수 있는지 신경 쓴다면 CAA 레코드를 게시하세요. 그렇지 않으면 발급은 규정을 준수하는 모든 CA에 열려 있습니다.

issue, issuewild, iodef 태그는 무엇인가요?

이들은 세 가지 표준 CAA 태그입니다. issue는 지정된 CA에 일반 인증서 발급을 인증하고, issuewild는 와일드카드 인증서 발급을 구체적으로 제어하며, iodef는 CA가 시도된 정책 위반을 보고하는 URL이나 mailto 주소를 제공합니다. issue와 iodef를 함께 쓰면 도메인을 인증할 수 있는 주체를 제한하면서 위반을 알림받을 수 있습니다.

인증 기관이 CAA 레코드를 반드시 준수해야 하나요?

네. CA/Browser Forum 규칙에 따라 공개적으로 신뢰받는 CA는 발급 전에 도메인의 CAA 레코드를 확인해야 하며, 레코드가 자신을 인증하지 않으면 거부해야 합니다. 이는 CAA를 권고가 아니라 강제되는 통제 수단으로 만듭니다. 이미 발급된 인증서를 중단시키지는 못하지만, 규정을 준수하는 기관에 의한 새로운 잘못된 발급은 차단합니다.

둘 이상의 인증 기관을 허용하려면 어떻게 하나요?

허용하려는 각 기관에 대해 별도의 CAA issue 레코드를 게시하세요. 예를 들어 issue "letsencrypt.org" 레코드 하나와 issue "digicert.com" 레코드 하나를 두면 둘 다 인증됩니다. CA는 어떤 레코드든 자신을 지정하는지 확인하므로, 여러 issue 레코드는 허용된 기관의 집합을 넓히면서도 나머지는 여전히 배제합니다.

CAA 레코드로 와일드카드 인증서를 따로 제어할 수 있나요?

네, 바로 그것이 issuewild 태그의 용도입니다. issuewild는 와일드카드 인증서(*.example.com 등)를 누가 발급할 수 있는지를 관장하며, 와일드카드에 대해서는 일반 issue 태그를 무시합니다. issue와 issuewild 레코드를 적절히 조합하면, CA가 일반 인증서는 발급하되 와일드카드는 제한하거나 금지하게 하거나 그 반대로 할 수 있습니다.

관련 도구

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어