У меня есть корневой домен, который я контролирую, и набор субдоменов, но за них несут ответственность другие люди .
Я хочу добавить защиту CAA к моему корневому домену, но я не хочу ограничивать пользователей поддоменов в использовании центров сертификации по их выбору.
К сожалению, поддомены наследуют проблему
тег родительского домена. Есть ли техническая возможность разрешить любому органу выдавать сертификат для определенного поддомена? Пустая строка означает «никто».
Если просто взглянуть на спецификацию CAA
, кажется, что технически возможно выполнить то, что вы запрашиваете.
Однако это не тот сценарий, который я видел в другом месте, и кажется правдоподобным, что он, возможно, не был учтен центрами сертификации при реализации их CAA
валидации.
Подход, который выглядит возможным в спецификации, сводится к следующему. на это:
CAA
, начиная с имени, указанного в запросе сертификата, и используя первое не- пустой CAA
RRSУстановка, с которой они сталкиваются, когда работают по направлению к корню. issue
тег, который запрашивает у эмитентов сертификатов обработку ограничения выдачи CAA для домена и предоставление авторизации определенным эмитентам сертификатов . (И раздел 5.3 описывает, как Issueewild
работает в целом с той же семантикой, но относится только к запросам с именами подстановочных знаков.) Это приводит меня к выводу, что, если бы вы опубликуйте наборы записей CAA
, которые не содержат записей с проблемой
или Issueewild
в качестве тега в этих поддоменах, согласно спецификации кажется, что эти поддомены не должны иметь ограничений. Примером такого CAA
RRset может быть только запись с тегом iodef
.
YMMV, может оказаться более практичным либо просто опубликовать фактический Политики выдачи CAA
для поддоменов или, альтернативно, полностью отказаться от CAA
.