피드로 돌아가기
HTTP-01, DNS-01, and DNS Delegation: What's the Difference When Getting an SSL Certificate?
Dev.toDev.to
Security

SSL 인증 검증 방식별 Trade-off 분석 및 DNS Delegation을 통한 보안 강화 설계

HTTP-01, DNS-01, and DNS Delegation: What's the Difference When Getting an SSL Certificate?

Fizee2026년 6월 18일6intermediate

Context

CA(Certificate Authority)의 도메인 소유권 검증 과정에서 발생하는 네트워크 제약과 권한 관리 문제 분석. 단순 HTTP-01 방식의 Wildcard 인증 불가 및 DNS-01 방식의 과도한 API 권한 부여로 인한 보안 리스크 존재.

Technical Solution

  • HTTP-01: 웹 루트 경로에 특정 파일을 배치하여 외부 CA의 HTTP Request 응답을 통한 소유권 증명
  • DNS-01: DNS TXT 레코드 값 삽입을 통해 서버의 외부 노출 없이 Wildcard 인증 및 내부망 서버 검증 수행
  • DNS Delegation: CNAME 레코드로 검증 전용 서브도메인을 별도 DNS Zone으로 위임하는 구조 설계
  • 권한 분리: 메인 DNS API 키 대신 검증 전용 Zone의 제한된 권한만 도구에 부여하여 보안 사고 범위 최소화
  • API 독립성: 메인 DNS 제공자의 API 지원 여부와 무관하게 검증 전용 서비스의 API를 통한 자동 갱신 구현

- Wildcard 인증서 필요 시 반드시 DNS-01 또는 DNS Delegation 검토 - 내부망 서버나 포트 80 개방 불가 환경에서는 DNS 기반 검증 방식 채택 - 자동 갱신 파이프라인 구축 시 메인 DNS 권한 보호를 위해 DNS Delegation 구조 도입 고려 - CA 서버 위치에 따른 네트워크 지연 가능성을 고려하여 HTTP-01의 타임아웃 설정 확인

원문 읽기