DNS Name Scope (DNS 이름 범위)
정의 (Definition)
DNS Name Scope(이름 범위)는 특정 DNS 설정(레코드/존)이나 인증서(SAN)가 어떤 이름 집합(정확 일치, 와일드카드 등)에 적용되는지 를 의미하며, 특히 FQDN과 와일드카드의 경계가 핵심입니다.
문제가 되는 배경 (Problem Context)
*.example.com이 example.com까지 포함한다고 착각하거나, 인증서 와일드카드가 2단계 하위 도메인까지 커버한다고 착각하면, 배포 이후 TLS 오류/라우팅 오류로 서비스가 즉시 깨질 수 있습니다.
핵심 메커니즘 (How it Works)
- FQDN(Fully Qualified Domain Name): 모호함을 피하기 위해 “정확한 이름”을 기준으로 동작합니다.
- Wildcard(
*):- DNS 레코드에서
*.example.com은 “정의되지 않은 1단계 하위”에 대한 fallback으로 사용됩니다. - TLS 인증서에서
*.example.com은 보통a.example.com은 포함하지만example.com(루트)과a.b.example.com(2단계)은 포함하지 않습니다.
- DNS 레코드에서
불변 조건과 보장 범위 (Invariants & Guarantees)
- 보장(일반적 경계): 와일드카드는 1-level deep이라는 경계가 실무에서 가장 중요한 실패 지점입니다.
- 비보장: 와일드카드의 의미가 모든 시스템에서 동일하다고 가정할 수는 없습니다(제품/규격에 따라 세부 동작 차이 가능).
비유 (Analogy)
와일드카드는 “김씨 집안 자녀들”을 부르는 호칭에 가깝습니다. 자녀(1단계)는 포함되지만, 가장(루트)과 손주(2단계)는 포함되지 않습니다.
실무적 함의 (Operational Implications)
- 인증서 발급 시
*.example.com만 두지 말고, 루트 도메인(example.com)도 SAN에 명시하는지 점검합니다. - Hosted Zone 이름은 와일드카드가 아니라 “존 그 자체(예: example.com)”여야 합니다.
주의사항 / 오해 (Pitfalls & Misconceptions)
*.example.comHosted Zone 같은 구성은 정상적인 Authority/Scope 모델과 맞지 않습니다.
References
- Related Note: DNS Authority
- Related Note: DNS Authority and Name Scope