CAA 에러로 SSL 적용 불가능하다면?

카테고리 : 소개/IT 상식

인증서는 CAA로 추가 인증을 거칠수있습니다.

 

CAA(Certification Authority Authorization)는 도메인 운영자가 DNS를 이용하여 특정 인증서만 신뢰하도록 화이트리스트를 설정하는것을 의미합니다.

CA(Certification Authority)는 루트인증기관을 의미합니다.

인증서 발급기관을 도메인 DNS에서 인증하여 실제 주소 사용자가 발급신청한 인증기관만을 신뢰할 수 있게 만드는 과정입니다.

루트인증기관이라면 구글,네이버 등 아무데나 발급하여 암호화 통신을 무력시킬수 있던걸 방지하도록 제작된 기능입니다.

이전까지 루트 인증서를 가지고 있다면 얼마든지 다른 도메인 인증서를 조작할 수 있었다.
이 말의 의미는 https 암호화 통신을 무력화 할 수 있었다는 것

 

예를들어 시놀로지의 DDNS서비스인 synology.me는 아래와 같은 CAA값이 설정되어있다.

0 issue letsencrypt.org;

의미 : letsencrypt.org 발급 인증서만 허용

 

Github Pages는

0 issue digicert.com
0 issue letsencrypt.org
0 issuewild digicert.com

의미 : digicert 와 letsencrypt 인증서만 허용한다.

 

Tistory는

오류로 빈칸이 있는게 아니다. CAA값이 없다.

 

없으면 갱신은 문제가 안되나, 보안상 CAA값을 설정하는게 권장된다.

 

우리나라에서 많이 쓰이는 iptime의 ddns서비스는 iptime.org인데 아래와 같은 CAA값이 설정되어있다.

0 issuewild ;
0 issue ;

의미 : 어떠한 인증서도 CAA인증 불가

추가로 issuewild가 적용되어 있어 모든 하위도메인에 적용된다.

 

 

따라서 letsencrypt v2는 CAA인증을 확인하므로 iptime의 ddns서비스 이용시 발급오류가 나타나게 된다.

letsencrypt v1을 활용하여 인증이 가능하나, 2020년 7월 완전히 지원을 중단한다.

수정 : v1에서 CAA확인을 안했으나 언제부터인지 확인을 한다.

 

Let's Encrypt CAA 오류 예시

During secondary validation: CAA record for 도메인 prevents issuance

 

2020년 7월 이후에는 iptime ddns 이용하는 주소는 https 인증이 불가하다.

이는 어떠한 인증서도 CAA인증을 불허하므로 오래된 암호화 방식만 지원가능하나 이제 찾아보기 어려울것으로 보인다.

 

 

letsencrypt v1 종료 계획

https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430

 

CAA인증 취약점

https://letsencrypt.org/ko/docs/caa/

 

도메인에 CAA 적용방법

hi098123.tistory.com/268

 

도메인 CAA 적용방법

도메인을 등록한 DNS서버 관리 페이지로 이동합니다. DNS서버 관리 페이지는 아래와 같은 업체들이 있습니다. 도메인 구입한 사이트 클라우드 플레어 구글 도메인 DNSZi 무료 DNS 등 이 중 일부��

hi098123.tistory.com

 

 

저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)

예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.

만약, 본문 공유를 원하신다면 링크 공유를 해주세요

저작권 정책 확인하기
링크 공유하기

 댓글 (2개)


  • isaac 2020.09.21 23:32 댓글주소수정/삭제댓글쓰기

    감사합니다. 이해한게 맞다면 iptime 업체에서 CAA 리스트에 letsencrypt를 등록해야 서브 도메인들도 letsencrypt에서 인증서를 발급 받을 수 있는거죠? 일단 저는 duckdns.org로 갈아타야겠습니다.