Defaults.Exposed › 설정 › CAA

GoDaddy에서 CAA 레코드 설정하는 방법

GoDaddy에 CAA 레코드를 추가하여 귀사 도메인에 SSL 인증서를 발급할 수 있는 인증 기관을 제한하세요.

비즈니스에 미치는 영향

CAA 레코드는 브라우저의 자물쇠(패드락) 뒤에 있는 SSL/TLS 인증서를 발급하는 회사, 즉 인증 기관(CA) 중 어느 곳이 귀사 도메인에 인증서를 발급할 수 있는지를 명시합니다. 규정을 준수하는 인증 기관은 인증서를 발급하기 전에 반드시 이 레코드를 확인하고, 목록에 없으면 요청을 거부해야 합니다.

쉽게 말해, CAA 레코드가 없으면 전 세계 수백 개의 인증 기관 중 어느 곳이든 속임을 당하거나 실수로 귀사 도메인에 유효한 인증서를 발급할 수 있습니다. 공격자는 이를 이용해 귀사 웹사이트를 그럴듯하게 사칭할 수 있습니다. CAA 레코드는 오직 이 기관만 허용, 다른 곳은 안 됨이라고 선언함으로써 그 문을 닫습니다. 무료이며 몇 분이면 됩니다.

GoDaddy가 DNS를 관리하는지 확인하세요

GoDaddy가 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. GoDaddy는 도메인 판매도 하고 DNS 호스팅도 하지만 두 기능은 별개입니다. 도메인의 네임서버가 GoDaddy를 가리켜야 여기서 추가한 레코드가 활성화됩니다. 로그인 후 도메인을 열어 네임서버가 GoDaddy 것인지 확인하세요. 다른 업체가 표시되면 실제로 DNS를 관리하는 업체에서 CAA 레코드를 추가하세요.

인증 기관을 먼저 파악하세요

무엇이든 추가하기 전에 현재 귀사 인증서를 발급하는 기관을 확인하세요. 그렇지 않으면 자체 제공업체를 잠글 위험이 있습니다. 일반적인 값:

• letsencrypt.org — Let’s Encrypt (무료 및 자동화 인증서 대부분이 사용)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

모르시면 호스팅을 설정한 담당자에게 문의하거나, 브라우저에서 자물쇠 아이콘을 클릭해 인증서 발급자를 확인하세요.

GoDaddy 단계별 설정

1. GoDaddy에 로그인하고 Domain Portfolio(또는 My Products)를 여세요.
2. 도메인을 찾아 DNS 관리 페이지를 여세요 (DNS 또는 Manage DNS 등을 찾아보세요).
3. 레코드 목록 아래에서 Add(또는 Add New Record)를 클릭하세요.
4. Type을 CAA로 설정하세요.
5. Name(또는 Host) 필드에 다음을 입력하세요: @ @는 도메인 루트를 의미합니다. 도메인 이름을 직접 입력하지 마세요.
6. Flags를 다음으로 설정하세요: 0
7. Tag를 다음으로 설정하세요: issue
8. Value 필드에 인증 기관의 식별자를 입력하세요. 예: letsencrypt.org
9. TTL은 기본값으로 유지하세요 (1시간이면 충분합니다).
10. Save를 클릭하세요.

여러 인증 기관 허용하기

시간이 지나면서 하나 이상의 기관을 사용하는 도메인이 많습니다. 예를 들어 오늘은 무료 인증서, 나중에는 유료 인증서, 또는 별도 서비스에 다른 기관을 사용할 수 있습니다. 여러 기관을 허용하려면 각각 별도의 CAA 레코드를 추가하세요. 모두 같은 @ 이름, 0 flags, issue 태그를 사용하고, 값만 다르게 합니다:

• 값이 letsencrypt.org인 레코드 하나
• 값이 digicert.com인 레코드 하나

이 두 레코드는 이 두 기관은 허용, 다른 곳은 안 됨을 의미합니다. 하나의 레코드에 합치면 안 됩니다.

GoDaddy에서 자주 하는 실수

• 가장 큰 실수는 자체 인증 기관을 잠그는 것입니다. digicert.com만 나열한 CAA 레코드를 추가했는데 실제 인증서가 Let’s Encrypt를 통해 갱신된다면, 다음 갱신이 조용히 실패하고 몇 주 후에 자물쇠가 깨질 수 있습니다. 저장하기 전에 실제로 사용하는 모든 기관을 반드시 포함하세요.
• Name은 도메인이 아닌 @입니다. Name 필드에 전체 도메인 이름을 입력하면 레코드가 잘못된 위치에 생성됩니다. 루트에는 @를 사용하세요.
• 일반 레코드의 Flags는 0입니다. 다른 값인 128은 비준수 기관이 완전히 거부하게 하는 엄격 모드입니다. 의도적으로 사용하는 경우에만 설정하세요. 일반 사용에는 0입니다.
• URL이 아닌 도메인만 입력하세요. 값은 letsencrypt.org이며, https://letsencrypt.org나 www.를 붙이지 마세요.
• 따옴표를 직접 추가하지 마세요. 값을 그대로 입력하면 됩니다. GoDaddy가 따옴표를 자동으로 처리합니다.
• 시간이 필요합니다. DNS 변경은 몇 분에서 몇 시간이 걸릴 수 있습니다. 기존 인증서는 계속 작동하며, CAA는 새 인증서가 발급되거나 갱신될 때만 확인됩니다.

설정 확인

저장 후 전파가 완료되면 이 사이트의 무료 점검 기능을 실행하세요. CAA 레코드가 제대로 설정되어 있는지, 어떤 기관이 허용되어 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.