子域名的 CAA 记录限制较少

Question

仅从规范来看CAA，似乎从技术上来说应该可以实现您的要求。
但是，我从未在其他地方看到过这种场景，而且 CA 在实施CAA验证时可能没有考虑到这种情况。

规范中看起来可行的方法可以归结为以下几点：

RFC6844 第 4 节（认证机构处理）描述了 CA 如何从证书请求中指定的名称开始，使用在向根目录移动过程中遇到的CAA第一个非空 RRSet 来定位相关记录集。CAA
RFC6844 第 5.2 节（CAA 问题属性）描述如何使用issue属性标签请求证书颁发机构针对域进行CAA颁发限制处理，并向特定证书颁发机构授予授权。（和第 5.3 节描述如何issuewild使用总体相同的语义但特定于具有通配符名称的请求。）

这让我得出这样的结论：如果您要发布CAA不包含带有issue或issuewild作为其标签的记录的记录集，则根据规范，这些子域似乎应该不受限制。此类CAARRset 的一个示例是仅带有标签的记录iodef。

YMMV，要么只发布子域名的实际“CAA”发行政策，要么完全放弃“CAA”，这可能更为实际。

Answer 1

仅从规范来看CAA，似乎从技术上来说应该可以实现您的要求。
但是，我从未在其他地方看到过这种场景，而且 CA 在实施CAA验证时可能没有考虑到这种情况。

规范中看起来可行的方法可以归结为以下几点：

RFC6844 第 4 节（认证机构处理）描述了 CA 如何从证书请求中指定的名称开始，使用在向根目录移动过程中遇到的CAA第一个非空 RRSet 来定位相关记录集。CAA
RFC6844 第 5.2 节（CAA 问题属性）描述如何使用issue属性标签请求证书颁发机构针对域进行CAA颁发限制处理，并向特定证书颁发机构授予授权。（和第 5.3 节描述如何issuewild使用总体相同的语义但特定于具有通配符名称的请求。）

这让我得出这样的结论：如果您要发布CAA不包含带有issue或issuewild作为其标签的记录的记录集，则根据规范，这些子域似乎应该不受限制。此类CAARRset 的一个示例是仅带有标签的记录iodef。

YMMV，要么只发布子域名的实际“CAA”发行政策，要么完全放弃“CAA”，这可能更为实际。

相关内容