FAQ. DNS CAA 레코드 설정이 필요 한가요? (발급지연, 발급거부) (삭제필수)

인증기관 CA 에서는, SSL 인증서 발급시 해당 도메인의 DNS 에 설정된 CAA 레코드를 참조합니다. DNS 설정된 CAA 레코드 기준으로, DNS 관리자 설정에 따라 발급 또는 거부 처리를 합니다. (DNS CAA, Certificate Authority Authorization)

CAA 레코드는 실질적으로 별 의미는 없으나, 간혹 DNS에 설정해 놓는 경우가 있습니다. 이럴 경우 정확한 설정이 아닌, 일반적인 설정값이 되어 있는 경우에는, 인증기관 CAA 에서 참조시 발급 거부 설정으로 판단되는 경우가 많습니다.



고객이 조치해야 할 사항 : 해당 도메인의 DNS 서버에서 CAA 레코드가 설정되어 있다면, CAA 전체 삭제를 권장합니다. CAA 레코드 일부만 조정/삭제가 아닌, DNS 서버에서 해당 도메인으로 설정된 모든 CAA 레코드 삭제 입니다.


⦁ CAA 레코드로 인한 발급 지연/중단은, 100% 고객측 사유 입니다.
⦁ CAA 조회시 레코드 값이 나오면 발급이 계속 중단됩니다. (SecureSign 또는 CA 의 발급 지연 X)
⦁ CAA 레코드 삭제는, 해당 도메인이 설정된 DNS 서버 관리자에게 요청해야 합니다.
⦁ CAA 레코드를 완전히 삭제하더라도, 기존 TTL 케시 만큼 발급이 지연될수 있습니다. (CA 에서는 정해진 시간에만 DNS 조회)
⦁ SecureSign 에서 DNS CAA 수정/삭제(제거) 방법 안내는 불가합니다.



아래 CAA 쿼리 테스트에서, 어떠한 결과도 나오지 않도록 해야 합니다. 인증서에 www 와 non-www 호스트가 포함되는 경우에는, 모든 DNS Name 에서 CAA 레코드가 완전 삭제 상태이어야 합니다.

https://dnslookup.online/caa.html



□ DNS CAA 레코드 조회 테스트 예제

sslcert.co.kr CAA 삭제
www.sslcert.co.kr CAA 삭제

 

#DCV #인증방법 #DNS #CAA #발급거부 #Reject
컨텐츠의 무단 전제복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2022. All rights reserved.