도메인이 서명되고 검증되는가?
DNS 및 레코드
DNS 조회 모든 도메인의 전체 DNS 레코드 A 레코드 조회 도메인의 IPv4 주소 AAAA 레코드 조회 도메인의 IPv6 주소 MX 조회 도메인의 메일 서버 NS 조회 권한 있는 네임 서버 TXT 조회 TXT 레코드, SPF, 인증 CNAME 조회 정규 이름(별칭) 레코드 SOA 조회 Start of Authority 레코드 SRV 조회 서비스 위치 레코드 CAA 조회 어떤 CA가 인증서를 발급할 수 있는지 역방향 DNS (PTR) IP 주소에서 호스트명으로 DNSSEC 점검 도메인이 서명되고 검증되는가? DNS 헬스 체크 위임 및 DNS 전체를 진단하는 종합 리포트이메일 전달성
SPF 점검 Sender Policy Framework 레코드 검증 DMARC 점검 DMARC 정책 검사 및 등급 평가 DKIM 점검 DKIM 공개 키 찾기 및 검증 블랙리스트 점검 이메일 차단 목록(DNSBL)에 대해 IP 점검 SMTP 테스트 메일 서버에 연결하여 STARTTLS 점검 MTA-STS 점검 수신 메일에 대한 강제 TLS 정책 BIMI 점검 이메일용 브랜드 로고 레코드 TLS-RPT 점검 SMTP TLS 보고 정책네트워크 및 웹
SSL 인증서 점검 사이트의 TLS 인증서 및 만료 검사 HTTP 헤더 점검 응답 헤더, 리디렉션 및 보안 검사 핑 (TCP) TCP를 통한 도달성 및 지연 시간 포트 점검 어떤 일반 포트가 열려 있는지도메인
WHOIS 조회 도메인, IP 및 ASN의 등록 데이터DNSSEC(DNS Security Extensions)는 DNS 레코드를 암호학적으로 서명해 리졸버가 변조되지 않았음을 검증할 수 있게 하며, 캐시 포이즈닝과 스푸핑을 방어합니다. 레코드의 의미를 바꾸지 않으면서 일반 DNS 위에 신뢰의 사슬을 더합니다. IPeek는 검증을 수행하는 DNS-over-HTTPS 리졸버를 조회해 도메인이 서명되고 인증되었는지 보고합니다.
DNSSEC는 각 영역을 개인 키로 서명하고 일치하는 공개 키를 DNS에 게시함으로써 작동합니다. 레코드는 서명되고(RRSIG), 키는 게시되며(DNSKEY), 영역 키의 지문(DS 레코드)이 상위 영역에 놓입니다. 이는 귀하의 영역을 상위 영역에 연결하고, 그 상위는 다시 자신의 상위에, 루트까지 쭉 연결되는 끊김 없는 신뢰의 사슬을 이룹니다. 검증 리졸버는 루트에서 아래로 그 사슬을 따라가며 각 서명을 확인하고, 서명이 검증되는 응답만 신뢰합니다.
IPeek는 도메인이 DNSSEC로 서명되었는지와 검증 리졸버가 이를 인증하는지 보고합니다. 인증된 결과(흔히 AD, 즉 Authenticated Data 플래그로 표시)는 신뢰의 사슬이 온전하고 레코드가 검증되었다는 뜻입니다. 도메인이 서명되지 않았다면 DNSSEC가 단지 활성화되지 않은 것입니다. 흔하고 오류가 아니지만, 레코드가 보호되지 않는다는 뜻입니다. 서명된 도메인이 검증에 실패하는 것은 더 심각합니다. 이는 끊어진 사슬, 보통 등록 대행자의 DS 레코드가 누락되거나 불일치함을 가리킵니다.
가장 흔한 실패는 끊어진 신뢰의 사슬로, 영역은 서명되어 있는데 상위의 DS 레코드가 누락되거나 오래되었거나 현재 키와 일치하지 않는 경우입니다. 이로 인해 검증 리졸버가 SERVFAIL을 반환하며, 검증 리졸버를 쓰는 사용자에게는 도메인이 완전히 오프라인이 될 수 있습니다. 보통 키 교체(rollover) 중이나 DS 레코드를 등록 대행자에 업로드하지 않고 DNSSEC를 활성화할 때 발생합니다. 등록 대행자의 DS 레코드가 영역의 현재 활성 키와 일치하게 하고, DS 갱신이 전파되기 전에는 절대 이전 키를 제거하지 마세요.
DNSSEC로 서명된 도메인은 DNS 레코드에 암호화 서명이 있어, 검증 리졸버가 응답이 진짜이고 수정되지 않았음을 확인할 수 있습니다. 다만 서명만으로는 충분하지 않습니다. 신뢰의 사슬이 도메인까지 닿도록 상위 영역에도 일치하는 DS 레코드가 있어야 합니다. 서명되고 올바르게 위임된 도메인은 스푸핑과 캐시 포이즈닝으로부터 보호됩니다.
아니요, 서명되지 않은 도메인은 오류가 아닙니다. 많은 도메인이 DNSSEC를 사용하지 않습니다. 단지 레코드에 암호화 보호가 없어 이론상 전송 중 스푸핑되거나 포이즈닝될 수 있다는 뜻입니다. DNSSEC를 활성화하면 그 보호가 더해지지만, 이는 선택 사항이며 DNS 제공업체와 등록 대행자 양쪽에서 올바른 설정이 필요합니다.
DS(Delegation Signer) 레코드는 영역의 서명 키의 지문으로, 등록 대행자의 상위 영역에 게시됩니다. 서명된 영역을 그 위의 신뢰의 사슬에 연결합니다. DS 레코드가 누락되거나 현재 키와 일치하지 않으면 검증 리졸버가 도메인을 검증할 수 없어 완전히 실패시킬 수 있으므로, DS를 동기화 상태로 유지하는 것이 매우 중요합니다.
AD는 Authenticated Data를 뜻합니다. 검증 리졸버가 AD 플래그를 설정하면, 응답의 DNSSEC 서명이 확인되었고 신뢰의 사슬이 성공적으로 검증되었음을 의미합니다. 서명된 도메인에 이 플래그가 없으면 검증 실패이거나 리졸버가 검증하지 않았음을 나타낼 수 있습니다. IPeek는 검증 리졸버를 사용하므로 이 플래그가 실제 인증을 반영합니다.
보통 원인은 끊어진 신뢰의 사슬입니다. 등록 대행자의 DS 레코드가 누락되거나 오래되었거나 영역의 활성 키와 일치하지 않는 경우로, 흔히 키 교체 이후에 발생합니다. 그러면 검증 리졸버가 SERVFAIL을 반환해 영향받는 사용자에게 도메인이 도달 불가능해질 수 있습니다. 등록 대행자의 DS 레코드를 현재 서명 키와 정렬하면 해결됩니다.