Domain-Name-System
子域的限制較少的 CAA 記錄
我有一個我可以控制的根域和一組子域,但其他人對它們負責。
我想為我的根域添加 CAA 保護,但我不想限制子域使用者使用他們選擇的證書頒發機構。
不幸的是,子域繼承
issue
了父域的標籤。是否存在允許任何機構向特定子域頒發證書的技術可能性?空字元串表示“沒有人”。
根據僅查看
CAA
規範,似乎在技術上應該可以按照您的要求進行操作。但是,這不是我在其他地方討論過的場景,CA 在實施驗證時可能沒有考慮到它似乎是合理的。
CAA
在規範中看起來可行的方法歸結為:
- RFC6844 第 4 節(認證機構處理)描述了 CA 應如何通過從證書請求中指定的名稱開始並使用他們在向根工作時遇到
CAA
的第一個非空 RRSet 來定位相關記錄集。CAA
- RFC6844 第 5.2 節(CAA 頒發屬性)描述瞭如何使用
issue
屬性標籤來請求證書頒發者對域執行 CAA 頒發限制處理並向特定證書頒發者授予授權。(並且第 5.3 節描述瞭如何issuewild
使用整體相同的語義但特定於具有萬用字元名稱的請求。)這使我得出的結論是,如果您要在這些子域中發布不包含帶有或作為其標記的
CAA
記錄的記錄集,根據規範,這些子域似乎應該不受限制。這種RRset 的一個例子只是帶有標籤的記錄。issue``issuewild``CAA``iodef
YMMV,結果可能更實際的是,要麼只發布子域的實際“CAA”發行政策,要麼完全放棄“CAA”。