요약

모든 인증기관이 DNSSEC이 활성화된 도메인에 대해 DNSSEC 검증을 의무 수행해야 하는 규정이 시행됨. CAA 레코드 조회와 ACME 챌린지 모두 해당되며, 미이행 시 엄격한 처분 예상.

기사 전체 정리

오늘부터 모든 인증기관(Certificate Authority)이 DNSSEC이 활성화된 도메인에 대해 DNSSEC 검증을 필수로 수행해야 함. 14년 전부터 DNSSEC을 운영해온 저자(bind9 → PowerDNS)가 이 변화를 소개함
구체적으로 두 가지가 바뀜:
- CA가 CAA 레코드를 조회해서 해당 도메인에 인증서를 발급해도 되는지 확인할 때, 응답의 DNSSEC 유효성을 검증해야 함
- ACME 챌린지(Let's Encrypt 등에서 사용하는 인증서 발급 프로세스) 중 DNS 레코드도 마찬가지로 검증 필수

💡팁

> 직접 DNS를 호스팅하지 않더라도 도메인을 소유하고 있다면, 레지스트라가 DNSSEC을 지원하는지 확인해볼 것. 클릭 한 번으로 켤 수 있는 경우도 있음

저자의 추정으로는 대부분의 CA가 데드라인 전에 이미 구현해두었을 것이지만, 이제부터는 의무사항이라 미이행 증거가 나오면 엄격하게 처리될 것으로 예상
DNSSEC은 DNS 응답의 위변조를 방지하는 보안 확장인데, 인증서 발급 과정에서 DNS 스푸핑을 통한 부정 인증서 획득을 막는 데 핵심적인 역할을 함

인증서 발급 체계의 보안 강화 한 걸음. 직접 DNS를 운영하지 않더라도 도메인 소유자라면 DNSSEC 활성화를 검토할 시점.