---
title: "오늘부터 인증기관(CA)은 DNSSEC 검증이 의무임"
published: 2026-03-15T22:10:47.000Z
canonical: https://jeff.news/article/621
---
# 오늘부터 인증기관(CA)은 DNSSEC 검증이 의무임

모든 인증기관이 DNSSEC이 활성화된 도메인에 대해 DNSSEC 검증을 의무 수행해야 하는 규정이 시행됨. CAA 레코드 조회와 ACME 챌린지 모두 해당되며, 미이행 시 엄격한 처분 예상.

- 오늘부터 모든 인증기관(Certificate Authority)이 DNSSEC이 활성화된 도메인에 대해 DNSSEC 검증을 필수로 수행해야 함. 14년 전부터 DNSSEC을 운영해온 저자(bind9 → PowerDNS)가 이 변화를 소개함
- 구체적으로 두 가지가 바뀜:
  - CA가 CAA 레코드를 조회해서 해당 도메인에 인증서를 발급해도 되는지 확인할 때, 응답의 DNSSEC 유효성을 검증해야 함
  - ACME 챌린지(Let's Encrypt 등에서 사용하는 인증서 발급 프로세스) 중 DNS 레코드도 마찬가지로 검증 필수

> [!TIP]
> 직접 DNS를 호스팅하지 않더라도 도메인을 소유하고 있다면, 레지스트라가 DNSSEC을 지원하는지 확인해볼 것. 클릭 한 번으로 켤 수 있는 경우도 있음

- 저자의 추정으로는 대부분의 CA가 데드라인 전에 이미 구현해두었을 것이지만, 이제부터는 의무사항이라 미이행 증거가 나오면 엄격하게 처리될 것으로 예상
- DNSSEC은 DNS 응답의 위변조를 방지하는 보안 확장인데, 인증서 발급 과정에서 DNS 스푸핑을 통한 부정 인증서 획득을 막는 데 핵심적인 역할을 함

## 핵심 포인트

- CA의 DNSSEC 검증이 의무화됨 (CAA 레코드 + ACME 챌린지)
- DNS 스푸핑을 통한 부정 인증서 획득 방지가 핵심 목적
- 도메인 소유자는 레지스트라에서 DNSSEC 지원 여부 확인 권장

## 인사이트

인증서 발급 체계의 보안 강화 한 걸음. 직접 DNS를 운영하지 않더라도 도메인 소유자라면 DNSSEC 활성화를 검토할 시점.