Менее строгая запись CAA для субдомена
У меня есть корневой домен, который я контролирую, и набор субдоменов, но за них несут ответственность другие люди .
Я хочу добавить защиту CAA к моему корневому домену, но я не хочу ограничивать пользователей поддоменов в использовании центров сертификации по их выбору.
К сожалению, поддомены наследуют проблему тег родительского домена. Есть ли техническая возможность разрешить любому органу выдавать сертификат для определенного поддомена? Пустая строка означает «никто».
Если просто взглянуть на спецификацию CAA , кажется, что технически возможно выполнить то, что вы запрашиваете.
Однако это не тот сценарий, который я видел в другом месте, и кажется правдоподобным, что он, возможно, не был учтен центрами сертификации при реализации их CAA валидации.
Подход, который выглядит возможным в спецификации, сводится к следующему. на это:
- RFC6844, раздел 4 (Обработка центра сертификации) описывает, как CA должен найти соответствующую запись
CAA, начиная с имени, указанного в запросе сертификата, и используя первое не- пустойCAARRSУстановка, с которой они сталкиваются, когда работают по направлению к корню. - RFC6844 раздел 5.2 (Свойство CAA issue) описывает, как это использовать свойство
issueтег, который запрашивает у эмитентов сертификатов обработку ограничения выдачи CAA для домена и предоставление авторизации определенным эмитентам сертификатов . (И раздел 5.3 описывает, какIssueewildработает в целом с той же семантикой, но относится только к запросам с именами подстановочных знаков.)
Это приводит меня к выводу, что, если бы вы опубликуйте наборы записей CAA , которые не содержат записей с проблемой или Issueewild в качестве тега в этих поддоменах, согласно спецификации кажется, что эти поддомены не должны иметь ограничений. Примером такого CAA RRset может быть только запись с тегом iodef .
YMMV, может оказаться более практичным либо просто опубликовать фактический Политики выдачи CAA для поддоменов или, альтернативно, полностью отказаться от CAA .