Менее строгая запись CAA для поддоменов
У меня есть корневой домен, которым я владею, и набор поддоменов, но за них отвечают другие люди.
Я хочу добавить защиту CAA в мой корневой домен, но я не хочу ограничивать пользователей поддоменов от использования центров сертификации по своему выбору.
К сожалению, субдомены наследуют issue тег родительского домена. Существует ли техническая возможность разрешить любому органу выдачи сертификата конкретному поддомену? Пустая строка означает "никто".
1 ответ
На основании только глядя на CAA Похоже, что технически возможно сделать то, что вы запрашиваете.
Тем не менее, это не тот сценарий, который я видел, обсуждали в другом месте, и кажется вероятным, что он, возможно, не был рассмотрен CA при реализации их CAA Проверка.
Подход, который выглядит возможным в спецификации, сводится к следующему:
- Раздел 4 RFC6844 (Обработка удостоверяющего центра) описывает, как ЦС должен найти соответствующий
CAAзапись устанавливается, начиная с имени, указанного в запросе сертификата, и используя первый непустойCAARRSet, с которым они сталкиваются, поскольку они работают к корню. - Раздел 5.2 RFC6844 (Свойство проблемы CAA) описывает, как это используется
issueтег свойства, который запрашивает, чтобы издатели сертификатов выполняли обработку ограничения выдачи CAA для домена и предоставляли авторизацию определенным эмитентам сертификатов. (И раздел 5.3 описывает, какissuewildработает с общей семантикой, но относится к запросам с подстановочными именами.)
Это приводит меня к выводу, что, если вы должны были опубликовать CAA наборы записей, которые не содержат записей с issue или же issuewild как их тег в этих поддоменах, в соответствии со спецификацией кажется, что эти поддомены должны быть неограниченными. Пример такого CAA RRset будет только записью с iodef тег.
YMMV, может оказаться более практичным либо просто опубликовать фактические CAA политика выдачи для поддоменов или альтернативно отказаться CAA полностью.