子域名的 CAA 记录限制较少

子域名的 CAA 记录限制较少

我有一个我控制的根域和一组子域,但其他人对它们负责。

我想为我的根域添加 CAA 保护,但不想限制子域用户使用他们选择的认证机构。

不幸的是,子域名会继承issue父域名的标签。是否有技术可能性允许任何颁发机构是否向特定子域颁发证书?空字符串表示“无人”。

答案1

仅从规范来看CAA,似乎从技术上来说应该可以实现您的要求。
但是,我从未在其他地方看到过这种场景,而且 CA 在实施CAA验证时可能没有考虑到这种情况。

规范中看起来可行的方法可以归结为以下几点:

  • RFC6844 第 4 节(认证机构处理)描述了 CA 如何从证书请求中指定的名称开始,使用在向根目录移动过程中遇到的CAA第一个非空 RRSet 来定位相关记录集。CAA
  • RFC6844 第 5.2 节(CAA 问题属性)描述如何使用issue属性标签请求证书颁发机构针对域进行CAA颁发限制处理,并向特定证书颁发机构授予授权。 (和第 5.3 节描述如何issuewild使用总体相同的语义但特定于具有通配符名称的请求。)

这让我得出这样的结论:如果您要发布CAA不包含带有issueissuewild作为其标签的记录的记录集,则根据规范,这些子域似乎应该不受限制。此类CAARRset 的一个示例是仅带有标签的记录iodef


YMMV,要么只发布子域名的实际“CAA”发行政策,要么完全放弃“CAA”,这可能更为实际。

相关内容