CAA, вероятно, следит за тем, чтобы выданные сертификаты приходили из моего CA, а не из другого.
Данные в DNS:
example.com. 300 IN CAA 0 issue "ca.example.com"
example.com. 300 IN CAA 0 issuewild "ca.example.com"
Вопрос 1: Может ли мой CA использовать его создать следующие субдомены?
a.b.c.example.com
d.e.f.example.com
Вопрос 2: Если это невозможно, какой самый простой способ сделать это в DNS? У нас много субдоменов.
Спецификация CAA включает DNS, идущий по корню.
Поэтому первый запрос DNS для записи CAA в a.b.c.example.com
будет сделан, и если это перестало работать, то тот же запрос для b.c.example.com
, то c.example.com
, и т.д. пока соответствие не найдено или корень, достигнут.
Видят RFC 8659 В§3, который показывает алгоритм, который будет использоваться:
RelevantCAASet(domain):
while domain is not ".":
if CAA(domain) is not Empty:
return CAA(domain)
domain = Parent(domain)
return Empty
с этим объяснением:
поиск CAA RRset поднимается на дерево имени DNS от указанной маркировки до, но не включая, корень "." DNS, пока CAA RRset не найден.
Так отвечают на Ваш Вопрос 1, да, и следовательно вопрос 2 исчезает.