네트워크에서 특정 TLS CA(인증 기관)를 차단할 수 있나요? 예를 들어 내 네트워크에서 letsencrypt가 발급한 모든 인증서를 차단합니다. 차단할 IP나 호스트 이름이 있나요?
답변1
방화벽에서 특정 IP 주소나 호스트 이름을 차단하여 CA에서 발급한 인증서를 차단할 수 없습니다.
인증서가 발급되면 인증서를 사용하는 서비스나 해당 서비스에 액세스하는 클라이언트 모두 인증서를 사용하여 통신을 보호할 수 있도록 CA에 연결할 필요가 없습니다.
(단순화입니다. 예를 들어 인증서의 해지 상태를 확인하려면 CA에 문의해야 하지만 AFAIK는 일반적으로 해지 상태를 확인할 수 없는 경우 인증서가 유효한 것으로 간주됩니다.)
답변2
도메인에 대한 letsencrypt(또는 모든 CA) 발급을 차단하고 자신의 DNS를 제어하려면 도메인 내에 CAA 레코드를 게시하세요.
따라서 모든 CA를 차단하려면 다음과 같은 레코드를 추가할 수 있습니다.
example.com. IN CAA 0 issue ";"
10개의 가상 VPN이 실행되는 서버가 있다고 가정해 보겠습니다. 인증서 유효성 검사를 방지하기 위해 letsencrypt에 대한 모든 요청을 차단하고 싶습니다.
/.well-known/acme-challenge/
모든 웹 서버 서버를 실행하는 경우 위치 에 대한 액세스를 차단하도록 웹 서버를 조정하여 HTTP-01 챌린지를 차단할 수 있습니다 . 들어오는 트래픽에 역방향 프록시나 웹 필터가 있는 경우 해당 URL을 차단할 수도 있습니다.