Defaults.Exposed › 수정 › CAA 레코드

CAA 레코드 수정 방법

CAA 레코드는 도메인 설정에 추가하는 짧은 지시로, 어떤 인증서 회사가 귀사 웹사이트의 '자물쇠' 보안 인증서를 발급할 수 있는지 지정합니다. 이 설정이 있으면 다른 어떤 회사도 귀사 이름으로 유효한 인증서를 조용히 만들 수 없습니다.

비즈니스에 미치는 핵심 영향: CAA 레코드가 없으면 전 세계 수백 개의 인증서 회사 중 어느 하나라도 귀사 도메인의 진짜 완전히 신뢰되는 자물쇠 인증서를 발급할 수 있습니다. 이를 통해 사기꾼이 화면에 어떤 경고도 없이 고객의 로그인과 카드 정보를 수집하는 완벽한 '보안' 사이트 복사본을 만들 수 있습니다.

발생 가능한 비용

• 사기꾼이 귀사 사이트의 복사본에 대한 실제 인증서를 취득하므로 녹색 자물쇠와 HTTPS를 표시합니다. 고객은 이상한 점을 발견하지 못하고 비밀번호와 카드 번호를 입력합니다.
• 고객이 완벽하게 '보안'처럼 보이는 귀사 로그인 페이지의 복사본을 통해 피싱됩니다. 환불, 지원 부담, 평판 손상이 귀사에 돌아옵니다.
• 잠재 고객의 보안 또는 구매 팀이 서명 전 도메인 빠른 확인을 실행하여 CAA 보호가 없음을 발견하고 조용히 '기본 사항이 약함'으로 표시합니다.
• 세계의 인증서 회사 중 하나가 침해됩니다(이것은 반복적으로 발생했습니다 — DigiNotar, Comodo, Symantec). 귀사를 대신할 수 있는 사람을 지정하지 않았기 때문에 가장 약한 링크로 밝혀진 것에 도메인이 노출됩니다.

중요한 이유. 지금 당장 문이 열려 있습니다: 지구상의 어떤 인증서 회사도 이전에 거래한 적이 없어도 귀사를 주장하는 사이트를 보증할 수 있습니다. CAA 레코드는 그 문을 잠가서 귀사가 선택한 공급업체만 인증서를 발급할 수 있게 합니다.

CAA 레코드란

모든 보안 웹사이트는 인증서를 가지고 있습니다 — 브라우저의 자물쇠와 주소 앞의 “https” 뒤에 있는 것. 그 인증서는 **인증 기관(CA)**이라고 하는 전문 회사들이 발급합니다: Let’s Encrypt, DigiCert, Sectigo, Google Trust Services 같은 이름들입니다.

여기 비즈니스 오너 대부분이 들어본 적 없는 부분이 있습니다: 기본적으로 전 세계 수백 개의 이 인증 기관 각각이 귀사와 거래한 적이 없어도 귀사 도메인의 인증서를 발급할 수 있습니다. CAA 레코드(Certification Authority Authorization)는 도메인 DNS 설정에 추가하는 한 줄 메모로 “오직 이 공급업체들만 나에게 인증서를 발급할 수 있다”라고 말합니다.

비즈니스 피해 사례

CAA 레코드가 닫는 위험은 설득력 있는 사칭입니다. 사기꾼이 귀사 사이트의 진짜 인증서를 받으면 일반적인 경고 신호가 사라집니다.

• 완벽한 가짜. 사기꾼이 유사한 주소를 등록하거나 고객 경로를 손상시키고 진짜 인증서를 취득하여 귀사 로그인 또는 결제 페이지의 완벽한 복사본을 만듭니다 — 자물쇠 포함. 고객이 정상적으로 비밀번호와 카드 번호를 입력합니다.
• 귀사 이름의 피싱 캠페인. 공격자가 귀사 사이트의 인증된 복사본으로 연결되는 “계정을 확인해 주세요” 이메일을 보냅니다. 페이지가 완전히 보안처럼 보이기 때문에 더 많은 사람이 속습니다.
• 체크리스트에서 지연된 거래. 더 큰 고객사의 보안 또는 구매 팀이 서명 전 도메인을 스캔합니다. “CAA 레코드 없음”이 귀사 이름 옆에 빨간색 또는 황색 항목으로 나타납니다.
• 다른 사람의 침해에 노출. 거래한 적 없는 인증 기관이 침해됩니다 — 이것은 가상이 아닙니다; DigiNotar, Comodo, Symantec 모두 심각한 사건이 있었습니다. 귀사를 대신할 수 있는 사람을 제한하지 않아 약한 CA를 통해 공격자가 도메인의 유효한 인증서를 얻을 수 있습니다.

CAA의 실제 내용

CAA 레코드는 도메인 DNS에 있으며 — 도메인을 웹사이트와 이메일로 연결하는 동일한 설정입니다. 각 레코드에는 플래그, 태그, 값이 있습니다:

• issue — 도메인의 일반 인증서를 발급할 수 있는 인증 기관 지정.
• issuewild — 와일드카드 인증서(예: *.example.com) 제어. 와일드카드를 사용하지 않는다면 완전히 차단하는 것이 권장됩니다.
• iodef — CAA 정책으로 인해 요청이 거부될 때 알림을 받을 연락처 주소(선택 사항).

좋은 상태는: 실제 사용하는 공급업체를 지정하는 최소 하나의 issue(또는 issuewild) 레코드가 있는 것.

수정 방법 (무료, 약 5분)

도메인이나 웹사이트를 관리하는 사람에게 이 섹션을 전달하세요 — 수정은 무료입니다.

1단계 — 실제로 사용하는 인증 기관 파악. 이것이 올바르게 해야 할 단계입니다. 일반적인 경우:

• Let’s Encrypt — 많은 호스트와 제어판에서 사용 → letsencrypt.org
• Cloudflare → letsencrypt.org, digicert.com, comodoca.com, pki.goog, ssl.com
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (및 comodoca.com)

브라우저에서 현재 인증서를 확인하려면 자물쇠 클릭 → 인증서 세부 정보 → “발급자”를 보세요.

2단계 — DNS 공급업체에 로그인. 도메인 레코드가 있는 곳 — 일반적으로 도메인 등록업체, 웹 호스트, 또는 Cloudflare입니다.

3단계 — 사용하는 각 공급업체에 대한 issue 레코드 추가. 예를 들어 Let’s Encrypt의 경우:

example.com.   CAA   0 issue "letsencrypt.org"

4단계 — 와일드카드 인증서 제어. 와일드카드를 사용하지 않는다면 완전히 차단:

example.com.   CAA   0 issuewild ";"

5단계 — (권장) 알림 주소 추가. CA가 시도를 거부할 때 알림 받기:

example.com.   CAA   0 iodef "mailto:[email protected]"

6단계 — 저장 및 확인. dig CAA example.com 실행하여 레코드 확인. 기존 인증서와 모든 갱신이 계속 작동합니다 — CAA는 신규 발급만 관장합니다.

플랫폼 빠른 참고: Cloudflare에서는 DNS → 레코드 → 레코드 추가 → 유형 CAA. Google Workspace에서는 도메인 등록업체에서 DNS를 관리합니다. Microsoft 365에서는 CAA가 M365 관리 센터가 아닌 도메인 DNS 호스트에서 설정됩니다.

흔한 실수

• 잘못된 CA 나열 — 또는 하나를 잊음. 가장 큰 실제 위험은 보안이 아니라 자체 갱신 차단입니다. 둘 이상의 발급자를 사용하는 경우 모두 나열하세요.
• issue 설정하고 와일드카드 무시. 일반 인증서를 제한하지만 와일드카드에 대해 아무 말도 하지 않는 도메인은 여전히 더 강력한 와일드카드 경로를 열어 둡니다.
• 잘못된 이름에 CAA 설정. CAA는 도메인 최상위(apex, 예: example.com)에 설정하는 것이 올바른 위치입니다 — 하위 도메인을 기본적으로 커버합니다.
• 플랫폼이 이미 처리했다고 가정. Cloudflare, Google, Microsoft는 인증서를 관리하지만 CAA 레코드는 추가하지 않습니다.
• 모니터링 없이 완료로 처리. 나중의 DNS 마이그레이션, 도메인 등록업체 변경, 레코드 “정리”가 조용히 CAA 보호를 삭제할 수 있습니다.

호스트에서 설정하기

주요 제공업체별 단계별 안내:

• GoDaddy에서 CAA 설정하기
• Namecheap에서 CAA 설정하기
• Cloudflare에서 CAA 설정하기
• AWS Route 53에서 CAA 설정하기

FAQ