DNSSEC 신뢰 체인 원리

DNSSEC은 다음과 같은 위계 구조로 서명된 위임(Delegation Signer, DS) 레코드를 통해 상위 도메인으로부터 신뢰를 이어받습니다.

 

. (루트)
└── com (루트의 DS 레코드 포함)
    └── example.com (com의 DS 포함)
        └── secure.example.com (example.com의 DS 포함) ← 하위 도메인

즉,

• 하위 도메인(secure.example.com)에서 DNSSEC을 활성화하면
• 부모 도메인(example.com) 에 DS(Delegation Signer) 레코드를 등록해야
• 상위에서 하위로 신뢰 체인이 연결됩니다.

---

⚙️ Route 53에서의 절차

1. 하위 도메인에 DNSSEC 활성화 → KSK 생성됨
2. Route 53이 DS 레코드 데이터(해시 값, 알고리즘 등) 제공
3. 부모 도메인의 호스팅 영역에 해당 DS 레코드 생성
   → 이렇게 해야 신뢰 체인이 완성되고 오류가 사라집니다.