Defaults.Exposed › 설정 › DNSSEC

Cloudflare에서 DNSSEC 설정하는 방법

Cloudflare에서 DNSSEC를 활성화하고 도메인 등록 업체에 DS 레코드를 추가하여 DNS 응답 위변조를 방지하세요.

비즈니스에 미치는 영향

누군가 귀사 도메인을 입력하거나 이메일을 보낼 때, 그들의 컴퓨터는 DNS 시스템에 올바른 주소를 질의합니다. 일반적으로 그 응답은 서명 없이 전송되므로, 응답을 조작할 수 있는 공격자는 방문자를 가짜 웹사이트로 조용히 유도하거나 이메일을 자신의 서버로 돌릴 수 있습니다. 고객은 주소창에 귀사 실제 도메인이 표시되는 동안에도 이를 전혀 알아챌 수 없습니다.

DNSSEC는 이 허점을 닫습니다. DNS 응답에 암호화 서명을 적용하므로, 귀사를 조회하는 측에서 응답이 실제로 귀사에서 왔으며 전달 과정에서 변경되지 않았음을 증명할 수 있습니다. 쉽게 말해, 도메인 하이재킹과 캐시 포이즈닝, 즉 귀사 도메인을 고객에 대한 무기로 삼는 공격을 막아줍니다. 무료이며, 모든 것의 기반이 되는 토대에 켤 수 있는 가장 강력한 보호 중 하나입니다.

DNSSEC의 실제 작동 방식 (단계가 이해되도록)

DNSSEC는 두 곳에 위치한 두 가지 요소로 구성됩니다:

• DNS 호스트(Cloudflare)가 레코드에 서명하고 공개 키(DNSKEY)와 그 지문인 DS 레코드를 게시합니다.
• 도메인 등록 업체(도메인을 갱신하는 회사)가 해당 DS 레코드를 상위 영역(예: .com)에 게시합니다.

등록 업체의 DS 레코드가 신뢰 체인의 연결고리입니다. Cloudflare가 하루 종일 서명하더라도, 일치하는 DS 레코드가 등록 업체에 등록되지 않으면 인터넷 전체가 그 서명을 신뢰할 서명된 방법이 없습니다. 따라서 작업은 두 단계입니다: Cloudflare에서 켜고, DS 레코드를 등록 업체에 제출합니다.

실제 위험 — 신중하게 하세요

DNSSEC를 잘못 설정하면 전체 도메인이 오프라인이 될 수 있습니다. 그런 일이 발생하는 두 가지 방식:

• 등록 업체에 게시한 DS 레코드가 DNS 호스트가 실제로 서명에 사용하는 것과 일치하지 않는 경우.
• DNS를 다른 호스트로 이전하거나 Cloudflare를 끄면서 먼저 등록 업체에서 DS 레코드를 제거하지 않은 경우 — 오래된 DS 레코드가 더 이상 존재하지 않는 서명을 계속 요구하여 조회가 실패합니다.

아래 흐름을 순서대로 따르고, Cloudflare가 여전히 서명 호스트인 동안 등록 업체에서 DS 레코드를 절대 삭제하지 않으면 위험하지 않습니다. Cloudflare에서 벗어날 계획이 있다면, 먼저 DNSSEC를 비활성화하고 등록 업체에서 DS 레코드를 제거한 뒤 이전하세요.

Cloudflare가 DNS를 관리하는지 확인하세요

Cloudflare가 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. Cloudflare는 DNS 호스트이지, 반드시 도메인을 구매한 회사가 아닙니다. Cloudflare의 DNS는 도메인의 네임서버가 대시보드에 표시된 Cloudflare 네임서버를 가리킬 때만 활성화됩니다. Cloudflare에서 도메인을 열고 Overview 페이지에서 Cloudflare가 활성 상태인지 확인하세요. 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 DNSSEC를 활성화하세요.

Cloudflare 단계별 설정

1. Cloudflare에 로그인하고 도메인을 선택하세요.
2. 왼쪽 메뉴에서 DNS, 그다음 Settings으로 이동하세요 (이전 대시보드에서는 DNS 아래에 DNSSEC 섹션이 직접 표시됩니다).
3. DNSSEC를 찾아 Enable DNSSEC를 클릭하세요.
4. Cloudflare가 값 패널을 표시합니다. 중요한 것은 DS 레코드입니다. Key Tag, Algorithm, Digest Type, Digest, 그리고 준비된 한 줄짜리 DS 레코드가 표시됩니다. 이 패널을 열어두세요. 이 값들을 등록 업체에 복사해야 합니다.
5. 도메인 등록 업체(도메인을 갱신하는 회사. Cloudflare일 수도, 아닐 수도 있습니다)에 로그인하세요.
6. 등록 업체에서 도메인의 DNSSEC 또는 DS 레코드 섹션을 찾아 Cloudflare가 제공한 정확한 값으로 새 DS 레코드를 추가하세요:
   • Key Tag — Cloudflare가 표시하는 숫자.
   • Algorithm — 보통 13 (ECDSA P-256 SHA-256).
   • Digest Type — 보통 2 (SHA-256).
   • Digest — 정확하게 복사한 긴 16진수 문자열.
7. 등록 업체에서 저장하세요. 등록 업체가 별도 필드 대신 하나의 DS 레코드 줄을 붙여 넣을 수 있다면 Cloudflare가 표시한 전체 DS 줄을 사용하세요.
8. Cloudflare로 돌아와서, 등록 업체가 DS 레코드를 수락하면 Cloudflare의 DNSSEC 상태가 active로 바뀝니다 (확인되는 데 시간이 걸릴 수 있습니다).

Cloudflare에서 자주 하는 실수

• 두 시스템이 필요합니다. Cloudflare에서 DNSSEC를 활성화하는 것만으로는 아무것도 되지 않습니다. DS 레코드도 등록 업체에 등록해야 합니다. 3단계에서 멈추고 왜 활성화가 안 되는지 의아해하는 분들이 많습니다.
• Digest를 정확하게 복사하세요. Digest에서 문자 하나라도 틀리거나 빠지면 등록 업체의 DS 레코드가 Cloudflare의 서명과 일치하지 않게 됩니다. 이것이 바로 도메인을 오프라인으로 만드는 잘못된 설정입니다. 복사-붙여넣기 하세요. 직접 다시 입력하지 마세요.
• 알고리즘과 다이제스트 유형 숫자를 맞추세요. 등록 업체에서 이를 별도로 요청하면 Cloudflare가 표시하는 값을 사용하세요. 추측하지 마세요.
• Cloudflare가 도메인 등록 업체이기도 한 경우, DS 단계가 내부적으로 처리될 수 있으며 별도의 등록 업체 양식이 표시되지 않을 수 있습니다. 하지만 완료되었다고 가정하기 전에 DNSSEC가 active로 표시되는지 확인하세요.
• Cloudflare가 여전히 서명 중인 동안 DS 레코드를 제거하지 마세요. 그리고 Cloudflare에서 DNS를 이전할 계획이 있다면 이전 전에 DNSSEC를 비활성화하고 등록 업체에서 DS 레코드를 지우세요.
• 시간이 필요합니다. DNSSEC 변경은 몇 분에서 하루까지 완전히 전파되고 active로 표시되는 데 걸릴 수 있습니다.

설정 확인

DNSSEC가 Cloudflare에서 active로 표시되고 등록 업체에 DS 레코드가 설정되면, 이 사이트의 무료 점검 기능을 실행하세요. DNSSEC가 귀사 도메인에 올바르게 게시되어 신뢰받고 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.