Defaults.Exposed › 설정 › DNSSEC

GoDaddy에서 DNSSEC 설정하는 방법

GoDaddy에서 토글 하나로 DNSSEC를 켜서 DNS 응답 위변조와 도메인 하이재킹을 방지하세요.

비즈니스에 미치는 영향

누군가 귀사 웹사이트를 방문하거나 이메일을 보낼 때, 그들의 컴퓨터는 먼저 DNS 시스템에 올바른 주소를 질의합니다. 그 응답은 일반적으로 서명 없이 전송되므로, 조회를 조작할 수 있는 공격자는 방문자를 가짜 사이트로 조용히 보내거나 이메일을 자신의 서버로 돌릴 수 있습니다. 주소창에는 귀사 실제 도메인이 그대로 표시됩니다.

DNSSEC는 이를 막습니다. DNS 응답에 암호화 서명을 적용하므로, 귀사를 조회하는 측에서 응답이 진정으로 귀사에서 왔으며 전달 중에 변경되지 않았음을 증명할 수 있습니다. 쉽게 말해, 귀사 도메인을 고객에게 불리하게 돌리는 공격인 도메인 하이재킹과 캐시 포이즈닝을 차단합니다. 무료이며, GoDaddy에서는 보통 스위치 하나면 됩니다.

DNSSEC의 작동 방식 (GoDaddy가 쉬운 이유)

DNSSEC는 두 가지 요소로 구성됩니다: DNS 호스트가 레코드에 서명하고 키(DNSKEY)와 DS 레코드라는 소형 지문을 게시하며, 등록 업체는 그 DS 레코드를 상위 영역에 등록하여 나머지 인터넷이 서명을 신뢰할 수 있게 합니다.

GoDaddy가 도메인 등록 업체이자 DNS 호스트인 경우, 즉 대부분의 GoDaddy 도메인이 GoDaddy 네임서버를 사용하는 경우, GoDaddy가 두 가지를 모두 처리합니다. 토글 하나를 켜면 GoDaddy가 키를 생성하고 DS 레코드를 자동으로 상위 체인에 등록합니다. 두 시스템 간에 값을 복사할 필요가 없습니다.

실제 위험 — 단순하지 않을 때

DNSSEC는 잘못 설정하면 도메인을 오프라인으로 만들 수 있습니다. 위험은 주로 등록 업체와 DNS 호스트가 다른 회사이거나 DNS 호스트를 변경할 때 발생합니다:

• 도메인이 GoDaddy에 등록되어 있지만 DNS가 다른 곳에 호스팅된 경우, GoDaddy의 원클릭 토글이 적용되지 않습니다. 실제 DNS 호스트에서 서명을 활성화하고 DS 레코드를 GoDaddy에 수동으로 추가해야 합니다.
• DNS를 GoDaddy에서 벗어나 이전하는 경우, 먼저 DNSSEC를 꺼야 합니다. 더 이상 활성 서명 호스트와 일치하지 않는 DS 레코드가 남아 있으면 조회가 실패하고 도메인이 오프라인이 됩니다.

GoDaddy가 등록 업체이자 DNS 호스트라면, 아래의 원클릭 흐름이 안전합니다.

GoDaddy가 DNS를 관리하는지 확인하세요

GoDaddy가 실제로 귀사 도메인의 DNS에 응답하는 경우에만 해당됩니다. 도메인이 GoDaddy 네임서버를 사용하는지 확인하세요: GoDaddy 계정에서 도메인을 열고 Nameservers 설정을 확인하세요. GoDaddy 자체 네임서버가 표시되면 원클릭 토글이 올바른 방법입니다. 네임서버가 다른 업체를 가리킨다면 그 업체에서 DNSSEC를 활성화한 뒤, 제공되는 DS 레코드를 GoDaddy에 추가하세요.

GoDaddy 단계별 설정 (원클릭, GoDaddy가 등록 업체이자 DNS 호스트)

1. GoDaddy 계정에 로그인하세요.
2. My Products(또는 Domain Portfolio)로 이동하세요.
3. 도메인을 찾아 관리 페이지를 여세요. 도메인 이름을 클릭하거나 세 점 메뉴에서 Manage DNS / Domain Settings를 선택하세요.
4. Additional Settings 섹션으로 스크롤하세요 (일부 계정에서는 DNS Management 아래에 표시됩니다).
5. DNSSEC를 찾아 Manage 또는 토글을 클릭하세요.
6. DNSSEC를 켬으로 전환하세요.
7. 확인하세요. GoDaddy가 키를 생성하고 영역에 서명한 뒤, DS 레코드를 자동으로 상위 체인에 등록합니다. 다른 곳에 복사할 내용이 없습니다.

DNS가 다른 곳에 호스팅된 경우 단계별 설정

GoDaddy가 등록 업체만이고 다른 회사가 DNS를 호스팅하는 경우:

1. DNS 호스트에서 먼저 DNSSEC를 활성화하고 생성되는 DS 레코드를 복사하세요 (Key Tag, Algorithm, Digest Type, Digest가 필요합니다).
2. GoDaddy에서 도메인을 열고 Additional Settings 아래의 DNSSEC 섹션을 찾으세요.
3. DS 레코드를 추가하고 DNS 호스트에서 가져온 값을 정확히 입력하세요.
4. 저장하세요. DS 레코드가 이제 상위 영역에 등록되어 체인이 완성됩니다.

GoDaddy에서 자주 하는 실수

• DNS 호스트를 먼저 확인하세요. 단순한 원클릭 토글은 GoDaddy가 등록 업체이자 DNS 호스트일 때만 전체 작업을 처리합니다. DNS가 다른 곳에 있다면 토글만으로는 충분하지 않습니다.
• 두 곳에서 동시에 켜지 마세요. DNS 호스트가 이미 영역에 서명 중이라면 GoDaddy에는 DS 레코드만 추가하면 됩니다. GoDaddy의 자체 서명 토글도 함께 켜면 두 설정이 충돌합니다.
• DS 값은 수동으로 입력할 때 정확하게 복사하세요. Digest에서 단 한 글자만 틀려도 체인이 깨지고 도메인이 오프라인이 될 수 있습니다.
• DNS를 이전하기 전에 DNSSEC를 끄세요. 오래된 DS 레코드가 남아 있는 상태로 새 DNS 호스트로 이전하는 것이 도메인을 오프라인으로 만드는 전형적인 방법입니다.
• 시간이 필요합니다. 변경은 몇 분에서 하루까지 완전히 전파되는 데 걸릴 수 있습니다.

설정 확인

DNSSEC가 켜지면(DS 레코드가 설정된 경우), 이 사이트의 무료 점검 기능을 실행하세요. DNSSEC가 귀사 도메인에 올바르게 게시되어 신뢰받고 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.