CAA 에러로 SSL 적용 불가능하다면?

인증서는 CAA로 추가 인증을 거칠수있습니다.

 

CAA(Certification Authority Authorization)는 도메인 운영자가 DNS를 이용하여 특정 인증서만 신뢰하도록 화이트리스트를 설정하는것을 의미합니다.

"나는 OO인증 업체에서만 인증받음" 이라고 DNS에 적어두면 발급자(Certification Authority), 사용자(브라우저)가 검증할 수 있다!

CA(Certification Authority)는 루트인증기관을 의미합니다.

인증서 발급기관을 도메인 DNS에서 지정하여 실제 주소 사용자가 발급신청한 인증기관만을 신뢰할 수 있게 만드는 과정입니다.

루트인증기관이라면 구글,네이버 등 어떤 도메인이나 발급하여 갈아치우면 암호화 통신을 무력시킬수 있던걸 방지하도록 제작된 기능입니다.

이전까지 루트 인증서를 가지고 있다면 얼마든지 다른 도메인 인증서를 조작할 수 있었다.
이 말의 의미는 루트 인증서를 발급할 수 있는 업체와 함께라면 ISP에서 https 암호화 통신을 무력화 할 수 있었다는 것

 

예를들어 시놀로지의 DDNS서비스인 synology.me는 아래와 같은 CAA값이 설정되어있다.

0 issue letsencrypt.org;

의미 : letsencrypt.org 발급 인증서만 허용

 

Github Pages는

0 issue digicert.com
0 issue letsencrypt.org
0 issuewild digicert.com

의미 : digicert 와 letsencrypt 인증서만 허용한다.

 

Tistory는

오류로 빈칸이 있는게 아니다. CAA값이 없다.

 

없으면 갱신은 문제가 안되나, 보안상 CAA값을 설정하는게 권장된다.

 

우리나라에서 많이 쓰이는 iptime의 ddns서비스는 iptime.org인데 아래와 같은 CAA값이 설정되어있다.

0 issuewild ;
0 issue ;

의미 : 어떠한 인증서도 CAA인증 불가

추가로 issuewild가 적용되어 있어 모든 하위도메인에 적용된다.

 

 

따라서 letsencrypt v2는 CAA인증을 확인하므로 iptime의 ddns서비스 이용시 발급오류가 나타나게 된다.

letsencrypt v1을 활용하여 인증이 가능하나, 2020년 7월 완전히 지원을 중단한다.

수정 : v1에서 CAA확인을 안했으나 언제부터인지 확인을 한다.

 

Let's Encrypt CAA 오류 예시

During secondary validation: CAA record for 도메인 prevents issuance

 

2020년 7월 이후에는 iptime ddns 이용하는 주소는 https 인증이 불가하다.

이는 어떠한 인증서도 CAA인증을 불허하므로 오래된 암호화 방식만 지원가능하나 이제 찾아보기 어려울것으로 보인다.

 

 

letsencrypt v1 종료 계획

https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430

 

CAA인증 취약점

https://letsencrypt.org/ko/docs/caa/

 

도메인에 CAA 적용방법

hi098123.tistory.com/268

도메인 CAA 적용방법