얼마전 입타임 ddns 서브도메인에서도 HTTP-01 challenge로 LetsEncrypt 인증서 발급이 가능하다는 댓글을 봤습니다.
certbot 설치해서 발급을 시도해 봤는데, 안 되네요. CAA 레코드에서 발급을 막아 두었다고 오류가 납니다.
(CAA를 간단히 설명하면 "우리 도메인은 이 기관에서만 인증서를 발급받겠다"고 DNS에 기록해 두는 것입니다.)
dig caa 명령어로 iptime.org 주소의 CAA를 조회해 보면 다음과 같이 설정되어 있습니다.
발급기관을 하나도 설정해 두지 않아서 인증서 발급자체가 원천 봉쇄되는 결과를 가져옵니다.
;; ANSWER SECTION:
iptime.org. 7165 IN CAA 0 issue ";"
iptime.org. 7165 IN CAA 0 issuewild ";"
재미있게도, 다른 ddns 주소인 ipdisk.co.kr 은 CAA가 없는 것 같습니다. dig caa 로 조회하면 결과가 없어요.
다만 설정이 어떻게 되어 있는지, 인증서 발급을 실행해 보면 세 번에 두 번은 CAA 오류를 내뱉습니다.
renew --dry-run 옵션으로 여러 차례 시도해 보니 될 때도 있고 안 될 때도 있네요.