Defaults.Exposed › 설정 › CAA

Cloudflare에서 CAA 레코드 설정하는 방법

Cloudflare에 CAA 레코드를 추가하여 귀사 도메인에 SSL 인증서를 발급할 수 있는 인증 기관을 제한하세요.

비즈니스에 미치는 영향

CAA 레코드는 브라우저의 자물쇠(패드락) 뒤에 있는 SSL/TLS 인증서를 발급하는 회사, 즉 인증 기관(CA) 중 어느 곳이 귀사 도메인에 인증서를 발급할 수 있는지를 명시합니다. 규정을 준수하는 인증 기관은 인증서를 발급하기 전에 반드시 이 레코드를 확인하고, 목록에 없으면 요청을 거부해야 합니다.

쉽게 말해, CAA 레코드가 없으면 전 세계 수백 개의 인증 기관 중 어느 곳이든 속임을 당하거나 실수로 귀사 도메인에 유효한 인증서를 발급할 수 있습니다. 공격자는 이를 이용해 귀사 웹사이트를 그럴듯하게 사칭할 수 있습니다. CAA 레코드는 오직 이 기관만 허용, 다른 곳은 안 됨이라고 선언함으로써 그 문을 닫습니다. 무료이며 몇 분이면 됩니다.

Cloudflare가 DNS를 관리하는지 확인하세요

Cloudflare가 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. Cloudflare는 DNS 호스트이며, 도메인의 네임서버가 대시보드에 표시된 Cloudflare 네임서버를 가리킬 때만 DNS가 활성화됩니다. Cloudflare에서 도메인을 열고 Overview 페이지에서 Cloudflare가 활성 상태인지 확인하세요. 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 CAA 레코드를 추가하세요.

인증 기관을 먼저 파악하세요

무엇이든 추가하기 전에 현재 귀사 인증서를 발급하는 기관을 확인하세요. 그렇지 않으면 자체 제공업체를 잠글 위험이 있습니다. 일반적인 값:

• letsencrypt.org — Let’s Encrypt (무료 및 자동화 인증서 대부분이 사용)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Cloudflare 관련 참고사항: Cloudflare의 자체 SSL(주황색 클라우드 프록시 설정)을 사용하는 경우 Cloudflare가 대신 엣지 인증서를 여러 기관을 통해 발급합니다. 추가하는 CAA 레코드에 Cloudflare가 사용하는 기관도 반드시 포함하거나, Cloudflare에 CAA 관리를 맡기세요. 잘 모르겠다면 호스팅을 설정한 담당자에게 문의하거나 브라우저에서 자물쇠 아이콘을 클릭해 인증서 발급자를 확인하세요.

Cloudflare 단계별 설정

1. Cloudflare에 로그인하고 도메인을 선택하세요.
2. 왼쪽 메뉴에서 DNS 설정으로 이동하세요 (DNS / Records 등을 찾아보세요).
3. Add record를 클릭하세요.
4. Type을 CAA로 설정하세요.
5. Name 필드에 다음을 입력하세요: @ @는 도메인 루트를 의미합니다. Cloudflare가 도메인을 자동으로 추가하므로 뒤에 입력하지 마세요.
6. Cloudflare는 CAA 필드를 친절한 메뉴로 표시합니다. 다음과 같이 설정하세요:
   • Flags: 0
   • Tag: Only allow specific hostnames 선택 (이것이 issue 태그입니다)
   • CA domain name(값): letsencrypt.org
7. TTL은 Auto로 유지하세요.
8. Save를 클릭하세요.

여러 인증 기관 허용하기

시간이 지나면서 하나 이상의 기관을 사용하는 도메인이 많습니다. 여러 기관을 허용하려면 각각 별도의 CAA 레코드를 추가하세요. 모두 같은 @ 이름, 0 flags, issue 태그를 사용하고, CA 도메인 값만 다르게 합니다:

• 값이 letsencrypt.org인 레코드 하나
• 값이 digicert.com인 레코드 하나

이 두 레코드는 이 두 기관은 허용, 다른 곳은 안 됨을 의미합니다. 하나의 레코드에 합치면 안 됩니다.

Cloudflare에서 자주 하는 실수

• 가장 큰 실수는 자체 인증 기관을 잠그는 것입니다. digicert.com만 나열한 CAA 레코드를 추가했는데 실제 인증서가 Let’s Encrypt를 통해 갱신된다면, 다음 갱신이 조용히 실패하고 몇 주 후에 자물쇠가 깨질 수 있습니다. 저장하기 전에 실제로 사용하는 모든 기관을 반드시 포함하세요.
• Cloudflare 자체 SSL에 주의하세요. 트래픽이 Cloudflare를 통과한다면(주황색 클라우드), Cloudflare가 엣지 인증서를 발급받을 수 있어야 합니다. Cloudflare가 사용하는 기관을 제외하는 CAA 레코드를 추가하면 이것이 깨질 수 있습니다. 확실하지 않다면 Let’s Encrypt와 Google Trust Services(pki.goog)를 함께 허용하거나, CAA를 Cloudflare에 맡기세요.
• Name은 도메인이 아닌 @입니다. 루트에는 @를 사용하세요. Cloudflare가 도메인을 자동으로 추가합니다.
• Tag 레이블이 다릅니다. Cloudflare는 issue 태그를 메뉴에서 Only allow specific hostnames로 표시합니다. 일반적인 용도에는 이것을 선택하세요.
• 일반 레코드의 Flags는 0입니다. 다른 값인 128은 엄격 모드입니다. 의도적으로만 사용하세요.
• URL이 아닌 도메인만 입력하세요. 값은 letsencrypt.org이며, https://letsencrypt.org나 www.를 붙이지 마세요.
• CAA 레코드에는 프록시가 없습니다. CAA는 순수한 DNS 레코드입니다. 주황색/회색 클라우드 토글은 신경 쓰지 않아도 됩니다.
• 시간이 필요합니다. DNS 변경은 몇 분에서 몇 시간이 걸릴 수 있습니다. 기존 인증서는 계속 작동하며, CAA는 새 인증서가 발급되거나 갱신될 때만 확인됩니다.

설정 확인

저장 후 전파가 완료되면 이 사이트의 무료 점검 기능을 실행하세요. CAA 레코드가 제대로 설정되어 있는지, 어떤 기관이 허용되어 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.