Назад | Перейти на главную страницу

Новые многоуровневые субдомены CAA

CAA, вероятно, следит за тем, чтобы выданные сертификаты приходили из моего центра сертификации, а не из другого.

Приведено в DNS:

example.com. 300 IN CAA 0 issue "ca.example.com"
example.com. 300 IN CAA 0 issuewild "ca.example.com"

Вопрос 1. Может ли мой центр сертификации использовать его для создания следующих поддоменов?

a.b.c.example.com
d.e.f.example.com

Вопрос 2: Если это невозможно, как проще всего сделать это в DNS? У нас много суб-поддоменов.

Спецификация CAA включает DNS, идущий вверх по корню.

Итак, сначала DNS-запрос для записи CAA на a.b.c.example.com будет выполнено, и если это не удастся, то тот же запрос для b.c.example.com, затем c.example.comи т.д., пока не будет найдено совпадение или не будет достигнут корень.

Видеть RFC 8659 §3, который показывает используемый алгоритм:

  RelevantCAASet(domain):
    while domain is not ".":
      if CAA(domain) is not Empty:
        return CAA(domain)
      domain = Parent(domain)
    return Empty

с этим объяснением:

Поиск CAA RRset поднимается по дереву имен DNS от указанной метки до корня DNS, но не включая его. пока не будет найден CAA RRset.

Итак, ответ на ваш вопрос 1 - да, и, следовательно, вопрос 2 отпадает.