안녕하세요. 써트코리아입니다. 

항상 저희 인증서를 이용해 주셔서 진심으로 감사 드립니다.

[중요공지] SSL/TLS 인증서 도메인 검증 강화 안내

CA/Browser Forum의 정책 결정에 따라, 도메인 검증 방식이 강화되어 

SSL/TLS 인증서 발급이 지연되거나, 실패하는 사례가 있어 안내 드립니다.

■ 주요 변경 사항

1. MPIC(Multi-Perspective Issurance Corroboration) 검증강화

 - MPIC는 여러 네트워크 관점에서 특정 도메인에 대해 동일한 DNS 레코드 정보 또는 웹사이트 내용이 반환 되어야만 해당 도메인이 유효한 것으로 간주되고,

   인증서가 발급 될 수 있음을 의미합니다. 

 - SSL/TLS 인증서 발급 시 도메인 유효성 검증(DCV) 및 CAA 레코드 체크 시 MPIC 검증이 반영됩니다.

  특히, 특정 국가 또는 해외 네트워크 접근을 차단한 경우, 도메인 검증이 완료되지 않을 수 있습니다.

 1) MPIC 검증 실패 환경

     아래와 같은 네트워크 정책이 적용된 환경에서는 도메인 검증이 실패하여 인증서 발급이 지연되거나 실패할 수 있습니다.

     · 해외IP 접근 차단

     · 특정국가IP 접근 차단

     · 방화벽 및 웹방화벽의 지역기반 차단 정책 등

 2) 대응 방법

     - 인증서 발급 시 DNS 서버 및 방화벽, 웹방화벽 등에서 전체IP 접근 허용(80, 443 포트 전체 접속 허용)

     - 승인코드 업로드 방식으로 처리하는 경우, 접근 허용 목록에 DigiCert DCV/1.1 및 DigiCert Bot/1.1 추가

2. 도메인 유효성 검사 및 CAA 레코드 체크 시 DNSSEC 유효성 검증

  - DNSSEC(Domain Name System Security Extensions)는 도메인 이름(DNS) 데이터를 암호화 방식으로 서명하여, 

    캐시 포이즈닝 등의 DNS 위,변조 공격을 방지하는 국제표준 기술입니다.

  - DNSSEC가 설정된 경우, 인증서 발급전 DNSSEC에 대한 검증이 완료되어야 합니다.

  - DNSSEC 상태는 https://dnssec.health 를 통해 확인 가능합니다.

 1) DNSSEC 유효성 검증 실패 환경

     아래와 같은 네트워크 정책이 적용된 환경에서는 도메인 검증이 실패하여 인증서 발급이 지연되거나 실패할 수 있습니다.

     · Next Secure(NSEC) 누락 오류

     · 리소스 레코드 서명(RRSIGS)누락 오류

 2) 대응 방법

     - DNS 제공업체를 통해 DNSSEC가 올바르게 구성되었는지 확인합니다.

네트워크 정책에 따라 인증서 발급 과정이 지연되거나 실패할 수 있으므로, 네트워크 정책을 사전에 점검해 주시기 바랍니다.

문의사항이 있으신 경우 070-4337-1571~3 번으로 연락주세요.

감사합니다.

써트코리아 드림