어떤 CA가 인증서를 발급할 수 있는지
DNS 및 레코드
DNS 조회 모든 도메인의 전체 DNS 레코드 A 레코드 조회 도메인의 IPv4 주소 AAAA 레코드 조회 도메인의 IPv6 주소 MX 조회 도메인의 메일 서버 NS 조회 권한 있는 네임 서버 TXT 조회 TXT 레코드, SPF, 인증 CNAME 조회 정규 이름(별칭) 레코드 SOA 조회 Start of Authority 레코드 SRV 조회 서비스 위치 레코드 CAA 조회 어떤 CA가 인증서를 발급할 수 있는지 역방향 DNS (PTR) IP 주소에서 호스트명으로 DNSSEC 점검 도메인이 서명되고 검증되는가? DNS 헬스 체크 위임 및 DNS 전체를 진단하는 종합 리포트이메일 전달성
SPF 점검 Sender Policy Framework 레코드 검증 DMARC 점검 DMARC 정책 검사 및 등급 평가 DKIM 점검 DKIM 공개 키 찾기 및 검증 블랙리스트 점검 이메일 차단 목록(DNSBL)에 대해 IP 점검 SMTP 테스트 메일 서버에 연결하여 STARTTLS 점검 MTA-STS 점검 수신 메일에 대한 강제 TLS 정책 BIMI 점검 이메일용 브랜드 로고 레코드 TLS-RPT 점검 SMTP TLS 보고 정책네트워크 및 웹
SSL 인증서 점검 사이트의 TLS 인증서 및 만료 검사 HTTP 헤더 점검 응답 헤더, 리디렉션 및 보안 검사 핑 (TCP) TCP를 통한 도달성 및 지연 시간 포트 점검 어떤 일반 포트가 열려 있는지도메인
WHOIS 조회 도메인, IP 및 ASN의 등록 데이터CAA(Certification Authority Authorization) 레코드는 도메인이 어떤 인증 기관(CA)이 자신에 대한 인증서를 발급할 수 있는지를 선언하게 해 줍니다. CA는 CA/Browser Forum의 요구에 따라 이 레코드를 준수해야 하므로, 잘못된 발급(CA가 귀하의 도메인에 대한 인증서를 잘못 발급하는 것)의 위험을 줄입니다. CAA는 TLS 인증서를 위한 간단하면서도 강력한 보호 장치입니다.
CAA 레코드는 허용된 인증 기관을 그 도메인으로 지정합니다. 발급 전에 규정을 준수하는 CA는 귀하의 도메인에 대한 CAA 레코드를 확인하며, 레코드가 존재하는데 그 CA가 나열되어 있지 않으면 발급을 거부해야 합니다. 레코드는 세 부분으로 이루어집니다. 플래그, 태그, 값입니다. 흔한 태그는 issue(CA에 표준 인증서 발급을 인증), issuewild(와일드카드 인증서를 구체적으로 제어), iodef(CA가 정책 위반을 보고하는 URL 또는 mailto)입니다. 예를 들어 issue "letsencrypt.org"는 Let's Encrypt만 발급을 허용합니다.
IPeek는 도메인의 CAA 레코드를 각각의 태그 및 값과 함께 나열합니다. issue 태그를 읽어 어떤 CA가 인증되었는지 확인하세요. "letsencrypt.org"나 "digicert.com" 같은 값은 허용된 기관을 지정합니다. issuewild 태그는 와일드카드 인증서를 누가 발급할 수 있는지 제한합니다. issue 값이 ";"(세미콜론)이면 어떤 CA도 인증되지 않았다는 뜻입니다. 도메인에 CAA 레코드가 없으면 어떤 공용 CA든 발급할 수 있으며, 이것이 허용적인 기본값입니다. 나열된 CA가 실제로 인증서에 사용하는 제공업체와 일치하는지 확인하세요.
CAA가 없으면 수십 개의 공용 인증 기관 중 어느 것이든 귀하의 도메인에 대한 인증서를 발급할 수 있으므로, 침해되거나 속은 CA 하나만 있어도 공격자가 유효한 인증서를 얻기에 충분합니다. CAA는 그 공격 표면을 귀하가 지정한 CA로만 좁힙니다. CA/Browser Forum이 CA에 발급 전 CAA 확인을 의무화하므로 이 보호는 업계 전반에 강제됩니다. iodef 태그를 추가하면 인증된 CA가 시도된 정책 위반을 알려 줄 수 있어, 받아서는 안 될 인증서를 누군가 얻으려 할 때 조기 경고를 받습니다.
CAA 레코드가 없으면 공개적으로 신뢰받는 어떤 인증 기관이든 도메인에 대한 인증서를 발급할 수 있습니다. 이것이 허용적인 기본값입니다. CAA 레코드를 추가하면 발급을 나열한 CA로만 제한합니다. 어떤 기관이 도메인을 인증할 수 있는지 신경 쓴다면 CAA 레코드를 게시하세요. 그렇지 않으면 발급은 규정을 준수하는 모든 CA에 열려 있습니다.
이들은 세 가지 표준 CAA 태그입니다. issue는 지정된 CA에 일반 인증서 발급을 인증하고, issuewild는 와일드카드 인증서 발급을 구체적으로 제어하며, iodef는 CA가 시도된 정책 위반을 보고하는 URL이나 mailto 주소를 제공합니다. issue와 iodef를 함께 쓰면 도메인을 인증할 수 있는 주체를 제한하면서 위반을 알림받을 수 있습니다.
네. CA/Browser Forum 규칙에 따라 공개적으로 신뢰받는 CA는 발급 전에 도메인의 CAA 레코드를 확인해야 하며, 레코드가 자신을 인증하지 않으면 거부해야 합니다. 이는 CAA를 권고가 아니라 강제되는 통제 수단으로 만듭니다. 이미 발급된 인증서를 중단시키지는 못하지만, 규정을 준수하는 기관에 의한 새로운 잘못된 발급은 차단합니다.
허용하려는 각 기관에 대해 별도의 CAA issue 레코드를 게시하세요. 예를 들어 issue "letsencrypt.org" 레코드 하나와 issue "digicert.com" 레코드 하나를 두면 둘 다 인증됩니다. CA는 어떤 레코드든 자신을 지정하는지 확인하므로, 여러 issue 레코드는 허용된 기관의 집합을 넓히면서도 나머지는 여전히 배제합니다.
네, 바로 그것이 issuewild 태그의 용도입니다. issuewild는 와일드카드 인증서(*.example.com 등)를 누가 발급할 수 있는지를 관장하며, 와일드카드에 대해서는 일반 issue 태그를 무시합니다. issue와 issuewild 레코드를 적절히 조합하면, CA가 일반 인증서는 발급하되 와일드카드는 제한하거나 금지하게 하거나 그 반대로 할 수 있습니다.