У меня есть корневой домен, который я контролирую, и набор поддоменов, но за них несут ответственность другие люди.
Я хочу добавить защиту CAA к своему корневому домену, но я не хочу ограничивать пользователей поддоменов в использовании центров сертификации по их выбору.
К сожалению, субдомены наследуют issue тег родительского домена. Есть ли техническая возможность разрешить любой орган выдает сертификат на конкретный поддомен? Пустая строка означает «никто».
На основе простого взгляда на CAA spec, похоже, должно быть технически возможно делать то, что вы просите.
Тем не менее, это не тот сценарий, который я видел в других местах, и кажется правдоподобным, что он, возможно, не был учтен центрами сертификации при реализации своих CAA Проверка.
Подход, который кажется возможным в спецификации, сводится к следующему:
CAA запись устанавливается, начиная с имени, указанного в запросе сертификата, и используя первый непустой CAA RRS Установите, с чем они сталкиваются, работая в направлении корня.issue тег свойства, который запрашивать у эмитентов сертификатов обработку ограничений выдачи CAA для домена и предоставлять авторизацию определенным эмитентам сертификатов. (И Раздел 5.3 описывает, как issuewild работает с той же семантикой, но специфичен для запросов с подстановочными именами.)Это подводит меня к выводу, что если бы вы опубликовали CAA наборы записей, которые не содержат записей с issue или issuewild как их тег в этих поддоменах, согласно спецификации кажется, что эти поддомены не должны быть ограничены. Пример такого CAA RRset будет только записью с iodef тег.
YMMV, может оказаться более практичным либо просто опубликовать актуальные CAA политики выдачи для поддоменов или, в качестве альтернативы, отказаться от CAA целиком.