cloudflare 에서 SSL용 CAA 레코드 생성하기

단비의 일상/IT Episode 2023. 1. 24. 13:07

여차저차해서 SSL 와일드카드 인증서를 발급받았다. 그래서 그 안정성을 체크해봤다.
SSL 체커라는 앱이 있는데, 그걸로 체크하니 점수가 나온다. 그런데 70점 밖에 나오지 않는데 그 이유를 보니 CAA 레코드를 생성하지 않아서란다.

여러 사이트를 뒤져보니 다음과 같은 레코드를 만들면 된다는 말이 나온다.

그래서 직접 만들어 보기로 했다.
일단, ColdCloud 앱에서는 안된다. PC용 홈페이지로 들어가서 해야 한다.
첫번째 줄 0 issue "letsencrypt.org" 관련해서는 아래와 같이 하고 저장버튼을 눌러주면 된다.

두번째 줄 0 issuewild "letsencrypt.org" 관련해서는 아래와 같이 하고 저장버튼을 눌러주면 된다.

그 결과로 이렇게 두개의 레코드가 추가되게 된다.

그 레코드를 추가한 후 다시한번 검사를 해봤다. 5점이 올라가기는 했으나… 다른 보안이슈들이 발목을 잡는다.

이렇게 CAA 레코드를 추가할때 주의할 것… 본인이 운영하지 않는 다른 사이트에서 인증서를 발급할 수 있다. 그때 인증서가 발급되지 않는다.

내 경우 이 도메인을 Tistrory와 개인사이트에서 쓰는데 티스토리와 개인사이트 모두 letsencrypt가 발급자가 맞으니 이 제약을 걸어봤다. 인증서 제공자가 다를 경우는 문제가 될 수 있다.

아, 어차피 CAA레코드는 지정 레코드 예외는 불가하다는 내용이 아니라 지정레코드가 가능하다를 나타내는 레코드이니 계속 추가해주면 되겠지만…

현실적으로 무료 SSL 인증서 발급처가 저 한군데이니… 무료 SSL인증서를 쓰는 경우라면 CAA 레코드 설정해도 무관할 수도 있을 것으로 생각된다.

덧. 23/2/16 현재 tistory의 인증서 발급자는 Adguard다. 잘 생각해보니 이 글의 게시일인 1월 14일 이전에 CAA레코드를 추가했는데도 2월 12일에 다른 발급자의 인증서가 발급된 것이다.

그래서 CAA 레코드는 삭제했다가 다시 만들었다.

아, 티스토리 도메인이 서브도메인이 아니라 루트 도메인이라서 가능한건가?

설정

트랙백

댓글