Defaults.Exposed › 설정 › CAA

AWS Route 53에서 CAA 레코드 설정하는 방법

AWS Route 53에 CAA 레코드를 추가하여 귀사 도메인에 SSL 인증서를 발급할 수 있는 인증 기관을 제한하세요.

비즈니스에 미치는 영향

CAA 레코드는 브라우저의 자물쇠(패드락) 뒤에 있는 SSL/TLS 인증서를 발급하는 회사, 즉 인증 기관(CA) 중 어느 곳이 귀사 도메인에 인증서를 발급할 수 있는지를 명시합니다. 규정을 준수하는 인증 기관은 인증서를 발급하기 전에 반드시 이 레코드를 확인하고, 목록에 없으면 요청을 거부해야 합니다.

쉽게 말해, CAA 레코드가 없으면 전 세계 수백 개의 인증 기관 중 어느 곳이든 속임을 당하거나 실수로 귀사 도메인에 유효한 인증서를 발급할 수 있습니다. 공격자는 이를 이용해 귀사 웹사이트를 그럴듯하게 사칭할 수 있습니다. CAA 레코드는 오직 이 기관만 허용, 다른 곳은 안 됨이라고 선언함으로써 그 문을 닫습니다. 무료이며 몇 분이면 됩니다.

Route 53이 DNS를 관리하는지 확인하세요

Route 53이 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. Route 53의 레코드는 도메인의 호스팅 영역 안에 있으며, 그 영역에 나열된 4개의 Route 53 네임서버를 도메인의 네임서버가 가리킬 때만 활성화됩니다. 호스팅 영역을 열고 NS 레코드를 확인한 뒤, 해당 네임서버가 도메인 등록 업체에 설정되어 있는지 검증하세요. 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 CAA 레코드를 추가하세요.

인증 기관을 먼저 파악하세요

무엇이든 추가하기 전에 현재 귀사 인증서를 발급하는 기관을 확인하세요. 그렇지 않으면 자체 제공업체를 잠글 위험이 있습니다. 일반적인 값:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (무료 및 자동화 인증서 대부분이 사용)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

AWS Certificate Manager를 사용해 인증서를 발급한다면 amazon.com을 반드시 허용해야 합니다. 그렇지 않으면 ACM이 발급 및 갱신에 실패합니다. 모르시면 호스팅을 설정한 담당자에게 문의하거나 브라우저에서 자물쇠 아이콘을 클릭해 인증서 발급자를 확인하세요.

Route 53 단계별 설정

1. AWS Management Console에 로그인하고 Route 53을 여세요.
2. 왼쪽 메뉴에서 Hosted zones를 선택한 뒤, 도메인을 선택하세요.
3. Create record를 클릭하세요.
4. Record name 필드는 비워두세요. 도메인 루트(apex)에 레코드를 적용합니다. 도메인 이름을 직접 입력하지 마세요.
5. Record type을 CAA로 설정하세요.
6. Value 박스에 Route 53의 3-부분 형식으로 한 줄에 입력하세요: 0 issue "letsencrypt.org" flags(0), 태그(issue), 그리고 큰따옴표로 감싼 인증 기관 순서입니다.
7. TTL은 기본값으로 유지하세요 (300초면 충분합니다).
8. 라우팅을 선택하라는 메시지가 나타나면 Simple routing을 선택한 뒤, Create records를 클릭하세요.

여러 인증 기관 허용하기

시간이 지나면서 하나 이상의 기관을 사용하는 도메인이 많습니다. 예를 들어 AWS Certificate Manager와 Let’s Encrypt를 함께 사용하는 경우. Route 53에서는 같은 CAA 레코드의 Value 박스에 각각 한 줄씩 추가 기관을 입력합니다:

0 issue "amazon.com"
0 issue "letsencrypt.org"

이 두 항목은 이 두 기관은 허용, 다른 곳은 안 됨을 의미합니다. 각 줄은 별도의 issue 항목입니다. 한 줄에 두 기관을 함께 입력하면 안 됩니다.

Route 53에서 자주 하는 실수

• 가장 큰 실수는 자체 인증 기관을 잠그는 것입니다. digicert.com만 나열한 CAA 레코드를 추가했는데 실제 인증서가 Let’s Encrypt나 ACM을 통해 갱신된다면, 다음 갱신이 조용히 실패하고 몇 주 후에 자물쇠가 깨질 수 있습니다. 저장하기 전에 실제로 사용하는 모든 기관을 반드시 포함하세요.
• ACM을 위해 amazon.com을 허용하세요. AWS Certificate Manager에서 인증서를 발급받고 CAA 레코드에 amazon.com이 없으면 ACM 유효성 검사 및 갱신이 실패합니다. 이것이 Route 53에서 가장 흔한 함정입니다.
• CA 주변의 따옴표는 필수입니다. Route 53은 0 issue "letsencrypt.org" 형식으로, 기관이 큰따옴표 안에 있어야 합니다. 빠뜨리면 레코드가 유효하지 않습니다.
• 루트에는 레코드 이름을 비워두세요. 빈 이름은 apex에 레코드를 적용하며, 도메인 이름을 입력하면 잘못된 위치에 생성됩니다.
• 일반 레코드의 Flags는 0입니다. 다른 값인 128은 엄격 모드입니다. 의도적으로만 사용하세요.
• URL이 아닌 도메인만 입력하세요. 값은 letsencrypt.org이며, https://letsencrypt.org나 www.를 붙이지 마세요.
• 시간이 필요합니다. DNS 변경은 몇 분에서 몇 시간이 걸릴 수 있습니다. 기존 인증서는 계속 작동하며, CAA는 새 인증서가 발급되거나 갱신될 때만 확인됩니다.

설정 확인

저장 후 전파가 완료되면 이 사이트의 무료 점검 기능을 실행하세요. CAA 레코드가 제대로 설정되어 있는지, 어떤 기관이 허용되어 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.