질문/조언질답게시판

Cloudflare는 모든 고객 요금제에서 DNS 관리를 위해 와일드카드 '*' 레코드를 지원합니다. 기업 요금제 고객은 와일드카드 레코드에 대해 완벽한 프록시 지원을 받습니다.

무료, 프로, 비즈니스 요금제

Cloudflare는 와일드 카드 레코드를 프록시 설정하지 않기 때문에 와일드카드 하위 도메인은 Cloudflare 성능, 보안 또는 앱 없이 직접 처리합니다. 따라서 와일드카드 도메인에는 Cloudflare DNS 앱에서 (오렌지색 또는 회색) 구름이 표시되지 않습니다. `*` CNAME 또는 A 레코드를 추가하면, 레코드가 생성되게 하기 위해 레코드가 회색 구름으로 되었는지 확인해야 합니다.

와일드카드 하위 도메인(예: www)을 Cloudflare로 보호하려면, Cloudflare DNS 설정에서 해당 도메인을 명시적으로 정의해야 합니다. 먼저, Cloudflare 계정에 로그인하고 DNS 앱을 클릭하세요. 이 예에서 "www"를 자체 CNAME 레코드로 Cloudflare DNS 설정에 추가하고 구름을 오렌지색으로 전환하여 Cloudflare의 프록시를 활성화합니다.

Cloudflare 기업 요금제 고객은 와일드카드 레코드를 프록시 설정할 수 있습니다. 기업 요금제에 대한 자세한 내용은 Cloudflare에 문의하시기 바랍니다.

와일드카드는 가장 왼쪽 하위 도메인 라벨에서만 유효합니다. 에를 들어 sub.*.example.com은 추가할 수 없지만 *.sub.example.com은 추가할 수 있습니다.

 

 위의 문단은 클라우드플레어 측의 설명인데 *.sub.example.com은 https handshake error가 뜨면서 통신이 불가능합니다만 혹시 방법 아시는 분 있으신가요?

 

cname으로 *.sub.example.net과 같이 적용하였습니다. 2차도메인에 대한 와일드카드는 작동하나 3차도메인에 대해서 와일드카드가 작동되지 않아서 질문드립니다.

page rule로 가변 설정하였는데 작동이 안됩니다.

  • profile
    구름 키셨나요..?
  • profile ?
    앗 와일드카드에 구름 적용 안되는데 2차도메인은 ssl handshake에 문제가 없는데 3차도메인은 ssl handshake에 문제가 있던데 혹시 어떻게 해야할까요?
  • ? profile
    구름 안키셨으면 서버 셋팅 문제입니다.
    핸드쉐이크 에러면 서버에서 Strict SNI 사용해서 발생하는 것일 가능성이 있습니다.
    해당 도메인에 대한 인증서 발급받으시고, 적용하세요.
  • profile ?
    구조는
    *.sub.example.com(a레코드 회색 구름)->example.example.net(c name 노랑 구름)->sub2.example.com(a레코드 노랑 구름)으로 이루어져있습니다.-->ssl handshake error
    *.example.com(a레코드 회색 구름)->example.example.net(c name 노랑 구름)->sub2.example.com(a레코드 노랑 구름)으로 이루어져있습니다.-->ssl 정상작동

    example.com과 .net에 대해서는 full strict cloudflare ssl적용되어있습니다.
  • ? profile
    그러면 오류가 나죠... 클플 SSL(기업용 제외) 인증서는 example.com, *.example.com에만 유효합니다.
  • profile ?
    앗 감사합니다
  • profile

    일단 기업요금제가 아니라면 와일드카드에 구름 적용은 안 될 거고요.

    그렇다면 SSL과 관련된 모든 문제는 클플과 무관하게 님이 사용하시는 인증서 문제입니다.

     

    인증서가 *.example.com으로 되어 있다면 3차도메인에는 적용이 되지 않습니다.

    처음부터 *.sub.example.com으로 발급받은 인증서여야 합니다.

    모든 3차도메인을 커버하도록 *.*.example.com으로 인증서를 발급받는 것은 불가능합니다.

  • profile ?
    아하 그러면 클플에서 dns전용에다가 hsts 하위도메인 적용 안하면 접속이 가능할까요?
  • ? profile

    해당 도메인에 한 번이라도 하위도메인 포함하여 HSTS를 적용하신 적이 있다면
    사실상 http는 영원히 사용할 수 없다고 보시면 됩니다.

    HSTS 캐싱 기간이 최소 6개월이고, 요즘은 1년 넘어가기도 하니까요.

  • ? profile

    Preload가 되어 있다면 preload 디렉티브 빼시고 https://hstspreload.org/removal/ 여기서 옵트 아웃 하셔야 됩니다.(이거 몇 주 걸립니다)
    그리고 max-age를 0으로 설정해서 기존에 전파되었던 값도 제거를 해 주셔야 되구요.

  • profile ?
    아하 감사합니다
  • profile ?
    아하 감사합니다