Defaults.Exposed › 설정 › DNSSEC

Namecheap에서 DNSSEC 설정하는 방법

Namecheap에서 DNSSEC를 활성화하여 DNS 응답 위변조로 인한 방문자 리다이렉션과 이메일 도용을 방지하세요.

비즈니스에 미치는 영향

누군가 귀사 웹사이트를 열거나 이메일을 보낼 때마다, 그들의 컴퓨터는 DNS 시스템에 귀사를 찾는 방법을 질의합니다. 그 응답은 보통 서명 없이 전송되므로, 조회를 방해할 수 있는 공격자는 방문자를 위조 사이트로 조용히 보내거나 이메일을 자신의 서버로 돌릴 수 있습니다. 주소창에는 귀사 실제 도메인이 그대로 표시됩니다.

DNSSEC는 그 문을 닫습니다. DNS 응답에 암호화 서명을 적용하므로, 귀사를 조회하는 측에서 응답이 진정으로 귀사에서 왔으며 전달 중에 변경되지 않았음을 확인할 수 있습니다. 쉽게 말해, 귀사 도메인을 고객에 대한 무기로 삼는 공격인 도메인 하이재킹과 캐시 포이즈닝을 방지합니다. 무료이며, Namecheap이 DNS를 관리한다면 거의 클릭 한 번으로 됩니다.

DNSSEC의 작동 방식 (Namecheap이 간단할 수 있는 이유)

DNSSEC는 두 가지 요소로 구성됩니다: DNS 호스트가 레코드에 서명하고 키(DNSKEY)와 DS 레코드라는 소형 지문을 게시하며, 등록 업체는 그 DS 레코드를 상위 영역에 등록하여 나머지 인터넷이 서명을 신뢰할 수 있게 합니다.

Namecheap이 도메인 등록 업체이자 DNS 호스트인 경우, 즉 도메인이 Namecheap BasicDNS / PremiumDNS를 사용하는 경우, Namecheap이 토글 하나로 두 가지를 모두 처리합니다. 영역에 서명하고 DS 레코드를 자동으로 상위 체인에 등록합니다. DNS가 다른 곳에 호스팅된 경우에는 해당 호스트의 DS 레코드를 Namecheap에 수동으로 복사합니다.

실제 위험 — 순서대로 하세요

DNSSEC를 잘못 설정하면 도메인이 오프라인이 될 수 있습니다. 그런 일이 발생하는 두 가지 방식:

• 등록 업체에 등록한 DS 레코드가 DNS 호스트가 실제로 서명에 사용하는 것과 일치하지 않는 경우.
• DNS를 다른 호스트로 이전하거나 서명을 끄면서 먼저 DS 레코드를 제거하지 않은 경우 — 오래된 DS 레코드가 더 이상 존재하지 않는 서명을 계속 요구하여 조회가 실패합니다.

따라서 Namecheap에서 DNS를 이전하거나 Namecheap 네임서버를 벗어나는 경우, 먼저 DNSSEC를 비활성화하고 DS 레코드를 지운 다음 이전하세요. 아래 흐름을 순서대로 따르면 안전합니다.

Namecheap이 DNS를 관리하는지 확인하세요

귀사 도메인의 DNS에 응답하는 곳을 확인하세요. Namecheap 계정에서 도메인을 열고 Domain 탭의 Nameservers 설정을 확인하세요:

• Namecheap BasicDNS 또는 Namecheap Web Hosting DNS / PremiumDNS로 설정되어 있으면 Namecheap이 DNS를 호스팅합니다. 원클릭 흐름을 사용하세요.
• 다른 업체를 가리키는 Custom DNS로 표시되면 그 업체가 DNS를 호스팅합니다. 먼저 거기서 DNSSEC를 활성화한 뒤, 제공되는 DS 레코드를 Namecheap에 추가하세요.

Namecheap 단계별 설정 (Namecheap이 등록 업체이자 DNS 호스트)

1. Namecheap에 로그인하세요.
2. Domain List로 이동해 도메인 옆의 Manage를 클릭하세요.
3. Advanced DNS 탭을 여세요.
4. DNSSEC 섹션으로 스크롤하세요.
5. DNSSEC를 켬으로 전환하세요.
6. 확인하세요. Namecheap 자체 DNS를 사용하는 경우, Namecheap이 영역에 서명하고 DS 레코드를 자동으로 상위 체인에 등록합니다. 다른 곳에 복사할 내용이 없습니다.

DNS가 다른 곳에 호스팅된 경우 단계별 설정

Namecheap이 등록 업체만이고 다른 회사가 DNS를 호스팅하는 경우:

1. DNS 호스트에서 먼저 DNSSEC를 활성화하고 생성되는 DS 레코드 값을 복사하세요. 보통 Key Tag, Algorithm, Digest Type, Digest가 필요합니다.
2. Namecheap에서 도메인을 열고 Advanced DNS 탭, 그다음 DNSSEC 섹션으로 이동하세요.
3. DS 레코드를 추가하고 DNS 호스트에서 가져온 값을 해당 필드에 정확히 입력하세요.
4. 저장하세요. DS 레코드가 이제 상위 영역에 등록되어 신뢰 체인이 완성됩니다.

Namecheap에서 자주 하는 실수

• Namecheap이 DNS도 호스팅할 때만 토글이 모든 것을 처리합니다. Custom DNS에서는 토글만으로는 충분하지 않습니다. 실제 DNS 호스트의 DS 레코드를 붙여 넣어야 합니다.
• 이중 서명 금지. 외부 DNS 호스트가 이미 영역에 서명 중이라면 Namecheap에는 DS 레코드만 입력하면 됩니다. Namecheap 자체 서명도 활성화하면 안 됩니다.
• DS 값은 글자 하나까지 정확하게 복사하세요. Digest에서 한 자리 숫자만 틀려도 DS가 서명과 일치하지 않아 도메인이 오프라인이 됩니다. 직접 다시 입력하지 말고 붙여 넣으세요.
• DNS 호스트가 보고하는 알고리즘과 다이제스트 유형 숫자를 맞추세요. 추측하지 마세요.
• 네임서버를 변경하기 전에 DNSSEC를 비활성화하세요. 오래된 DS 레코드가 남아 있는 상태로 DNS 호스트를 전환하는 것이 도메인을 오프라인으로 만드는 전형적인 방법입니다.
• 시간이 필요합니다. 변경은 몇 분에서 하루까지 완전히 전파되는 데 걸릴 수 있습니다.

설정 확인

DNSSEC가 켜지면(DS 레코드가 설정된 경우), 이 사이트의 무료 점검 기능을 실행하세요. DNSSEC가 귀사 도메인에 올바르게 게시되어 신뢰받고 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.