인증기관 CA 에서는, SSL 인증서 발급시 해당 도메인의 DNS 에 설정된 CAA 레코드를 참조합니다. DNS 설정된 CAA 레코드 기준으로, DNS 관리자 설정에 따라 발급 또는 거부 처리를 합니다. (DNS CAA, Certificate Authority Authorization)

대형 포털인 daum.net, naver.com 도 CAA 를 설정해 놓지 않을 정도로 (2020년기준), CAA 레코드는 실질적으로 별 의미가 없거나 불필요 하지만, 간혹 DNS에 CAA 설정해 놓는 경우가 있습니다. 그럴 경우 정확한 설정이 아닌, 일반적인 설정값으로 되어 있는 경우에는, 인증기관 CAA 에서 참조시 발급 거부 설정으로 판단되는 경우가 매우 많습니다.



고객이 조치해야 할 사항 : 해당 도메인의 DNS 서버에서 CAA 레코드가 설정되어 있다면, CAA 레코드 전체 '삭제' 를 권장합니다. CAA 레코드 일부만 수정(허용)이 아닌, DNS 서버에서 해당 도메인으로 설정된 모든 CAA 레코드 삭제 입니다.


⦁ CAA 레코드로 인한 발급 지연/중단은, 100% 고객측 사유 입니다.
⦁ CAA 조회시 레코드 값이 나오면 발급이 계속 중단됩니다. (SecureSign 또는 CA 의 발급 지연 X)
⦁ CAA 레코드 삭제는, 해당 도메인이 설정된 DNS 서버 관리자에게 요청해야 합니다.
⦁ CAA 레코드를 완전히 삭제하더라도, 기존 TTL 케시 만큼 발급이 지연될수 있습니다. (CA 에서는 정해진 시간에만 DNS 조회)
⦁ SecureSign 에서 DNS CAA 수정/삭제(제거) 방법 안내는 불가합니다.



아래 CAA 쿼리 테스트에서, 어떠한 결과도 나오지 않도록 해야 합니다. 인증서에 www 와 non-www 호스트가 포함되는 경우에는, 모든 DNS Name 에서 CAA 레코드가 완전 삭제 상태이어야 합니다.

▶ https://dnslookup.online/caa.html



□ DNS CAA 레코드 조회 테스트 예제

sslcert.co.kr CAA 삭제
www.sslcert.co.kr CAA 삭제

 

#DCV #인증방법 #DNS #CAA #발급거부 #Reject #DNS인증 #도메인