Defaults.Exposed › 설정 › CAA

Namecheap에서 CAA 레코드 설정하는 방법

Namecheap에 CAA 레코드를 추가하여 귀사 도메인에 SSL 인증서를 발급할 수 있는 인증 기관을 제한하세요.

비즈니스에 미치는 영향

CAA 레코드는 브라우저의 자물쇠(패드락) 뒤에 있는 SSL/TLS 인증서를 발급하는 회사, 즉 인증 기관(CA) 중 어느 곳이 귀사 도메인에 인증서를 발급할 수 있는지를 명시합니다. 규정을 준수하는 인증 기관은 인증서를 발급하기 전에 반드시 이 레코드를 확인하고, 목록에 없으면 요청을 거부해야 합니다.

쉽게 말해, CAA 레코드가 없으면 전 세계 수백 개의 인증 기관 중 어느 곳이든 속임을 당하거나 실수로 귀사 도메인에 유효한 인증서를 발급할 수 있습니다. 공격자는 이를 이용해 귀사 웹사이트를 그럴듯하게 사칭할 수 있습니다. CAA 레코드는 오직 이 기관만 허용, 다른 곳은 안 됨이라고 선언함으로써 그 문을 닫습니다. 무료이며 몇 분이면 됩니다.

Namecheap이 DNS를 관리하는지 확인하세요

Namecheap이 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. 아래 레코드는 Advanced DNS에 입력하며, 도메인이 Namecheap BasicDNS(또는 PremiumDNS)를 사용할 때만 활성화됩니다. 로그인 후 Domain List를 열고, 도메인의 Manage를 클릭한 뒤, 네임서버가 Namecheap으로 설정되어 있는지 확인하세요. 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 CAA 레코드를 추가하세요.

인증 기관을 먼저 파악하세요

무엇이든 추가하기 전에 현재 귀사 인증서를 발급하는 기관을 확인하세요. 그렇지 않으면 자체 제공업체를 잠글 위험이 있습니다. 일반적인 값:

• letsencrypt.org — Let’s Encrypt (무료 및 자동화 인증서 대부분이 사용)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

모르시면 호스팅을 설정한 담당자에게 문의하거나, 브라우저에서 자물쇠 아이콘을 클릭해 인증서 발급자를 확인하세요.

Namecheap 단계별 설정

1. Namecheap에 로그인하고 Domain List를 여세요.
2. 도메인 옆의 Manage를 클릭하세요.
3. Advanced DNS 탭을 여세요.
4. Host Records 아래에서 Add New Record를 클릭하세요.
5. 레코드 Type을 CAA Record로 설정하세요.
6. Host 필드에 다음을 입력하세요: @ @는 도메인 루트를 의미합니다. 도메인 이름을 직접 입력하지 마세요.
7. Flag 필드에 다음을 입력하세요: 0
8. Tag 필드에서 다음을 선택하세요: issue
9. Value(CA domain) 필드에 인증 기관의 식별자를 입력하세요. 예: letsencrypt.org
10. TTL은 Automatic으로 유지하세요.
11. 녹색 체크 표시를 클릭해 저장하고, 메시지가 나타나면 Save All Changes를 클릭하세요.

여러 인증 기관 허용하기

시간이 지나면서 하나 이상의 기관을 사용하는 도메인이 많습니다. 여러 기관을 허용하려면 각각 별도의 CAA 레코드를 추가하세요. 모두 같은 @ 호스트, 0 flag, issue 태그를 사용하고, 값만 다르게 합니다:

• 값이 letsencrypt.org인 레코드 하나
• 값이 digicert.com인 레코드 하나

이 두 레코드는 이 두 기관은 허용, 다른 곳은 안 됨을 의미합니다. 하나의 레코드에 합치면 안 됩니다.

Namecheap에서 자주 하는 실수

• 가장 큰 실수는 자체 인증 기관을 잠그는 것입니다. digicert.com만 나열한 CAA 레코드를 추가했는데 실제 인증서가 Let’s Encrypt를 통해 갱신된다면, 다음 갱신이 조용히 실패하고 몇 주 후에 자물쇠가 깨질 수 있습니다. 저장하기 전에 실제로 사용하는 모든 기관을 반드시 포함하세요.
• Host는 도메인이 아닌 @입니다. Host 필드에 전체 도메인 이름을 입력하면 레코드가 잘못된 위치에 생성됩니다. 루트에는 @를 사용하세요.
• 일반 레코드의 Flag는 0입니다. 다른 값인 128은 비준수 기관이 완전히 거부하게 하는 엄격 모드입니다. 의도적으로 사용하는 경우에만 설정하세요. 일반 사용에는 0입니다.
• URL이 아닌 도메인만 입력하세요. 값은 letsencrypt.org이며, https://letsencrypt.org나 www.를 붙이지 마세요.
• TXT가 아닌 CAA 유형을 선택하세요. Namecheap에는 전용 CAA Record 유형이 있습니다. TXT 레코드에 CAA를 직접 작성하지 마세요.
• 시간이 필요합니다. DNS 변경은 몇 분에서 몇 시간이 걸릴 수 있습니다. 기존 인증서는 계속 작동하며, CAA는 새 인증서가 발급되거나 갱신될 때만 확인됩니다.

설정 확인

저장 후 전파가 완료되면 이 사이트의 무료 점검 기능을 실행하세요. CAA 레코드가 제대로 설정되어 있는지, 어떤 기관이 허용되어 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.