Detail: No TXT record found at _acme-challenge.domain

문제점 및 증상

certbot을 이용하여 Let's encrypt의 와일드카드 SSL 서버 인증서를 재발급 받으려는 과정에서 다음과 같은 오류를 맞딱뜨렸습니다.

Waiting for verification...
Challenge failed for domain smiledoctor.kr
dns-01 challenge for smiledoctor.kr
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: smiledoctor.kr
   Type:   unauthorized
   Detail: No TXT record found at _acme-challenge.smiledoctor.kr

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

일반적인 dig, nslookup 명령으로는 정상적으로 TXT 레코드 값이 조회가 되는데, 이상하게도 certbot에서는 위와 같은 오류를 발생시켰습니다.

# dig txt _acme-challenge.smiledoctor.kr

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> txt _acme-challenge.smiledoctor.kr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10950
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 11

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 31d06b24c707172f7458a286607d121d3994cb9a98e5742c (good)
;; QUESTION SECTION:
;_acme-challenge.smiledoctor.kr.        IN      TXT

;; ANSWER SECTION:
_acme-challenge.smiledoctor.kr. 60 IN   TXT     "3BCtvq9XgGdwV8Tgwg3I6VtmP1hT4sbJ5XsLEIgCpWA"

nslookup 명령을 이용하여 확인하여도 정상적으로 결과가 출력됩니다.

C:\Users\USER>nslookup -q=txt _acme-challenge.smiledoctor.kr
서버:    kns.kornet.net
Address:  168.126.63.1

권한 없는 응답:
_acme-challenge.smiledoctor.kr  text =

        "3BCtvq9XgGdwV8Tgwg3I6VtmP1hT4sbJ5XsLEIgCpWA"

smiledoctor.kr  nameserver = ns.smiledoctor.kr
ns.smiledoctor.kr       internet address = 49.247.200.168

해결 방안

정확하게는 해결 방안이라기 보다는 해결 방안을 찾기 위한 사이트를 정리해 보았습니다.

https://dnschecker.org/

dnschecker에서 확인하려는 도메인 이름을 입력하고 검색하면, 아래 그림과 같이 세계 지도에서 대표적인 네임 서버들에서 도메인 이름이 정상적으로 등록되어 있는지 시각적으로 확인할 수 있습니다.

.

.

여기서 "Not Resolved"가 나온다면, 자신의 네임 서버 설정에 문제가 있을 가능성이 매우 높습니다.

전체 네임 서버에서 조회가 안된다면, 도메인 이름을 잘 못 등록한 경우일 겁니다. 도메인 관리자에게 해당 내용을 확인해 보셔야 합니다.

저의 경우, 도메인 등록 관리 업체에 해당 도메인에 대한 네임 서버를 실제로 동작하지 않는 불필요한 네임 서버가 등록되어 있었는데, 외국에서 볼 때는 1순위 서버가 아니었음에도 해당 서버에 접속하여 조회를 하여서 문제가 발생했던 것으로 보입니다.

https://check-your-website.server-daten.de/

위 사이트에서는 간단한 보안 사항들까지 점검해 주고, "_acme-challenge" TXT 레코드도 조회하여 줍니다.

만약 이 사이트에서 "_acme-challenge" TXT 레코드 조회가 실패한다면, 도메인 설정에 뭔가 문제가 있는 것이므로 도메인 관리자에게 해당 내용을 문의하셔야 합니다.

.

.

위 두 사이트를 참조하여 해결책을 찾으시길 기대합니다.