サブドメインの制限の少ないCAAレコード
私は自分が管理しているルートドメインと一連のサブドメインを持っていますが、他の人がそれらに責任を負っています。
ルートドメインにCAA保護を追加したいのですが、サブドメインユーザーが選択した認証局を使用することを制限したくありません。
残念ながら、サブドメインは親ドメインのissueタグを継承します。 any機関が特定のサブドメインに証明書を発行できるようにする技術的な可能性はありますか?空の文字列は「誰もいない」ことを意味します。
CAA仕様を見るだけで、要求していることを技術的に実行できるはずです。
ただし、他の場所で説明したシナリオではなく、CAがCAA検証を実装するときに考慮しなかった可能性があります。
仕様で可能と思われるアプローチは、要約すると次のようになります。
- RFC6844セクション4(認証局処理) 証明書要求で指定された名前から開始し、最初に検出された空でない
CAARRSetを使用して、CAが関連するCAAレコードセットを見つける方法を説明します。根に向かって自分自身を働かせます。 - RFC6844セクション5.2(CAA発行プロパティ) は、証明書発行者がドメインに対してCAA発行制限処理を実行することを要求する
issueプロパティタグの使用方法を説明しています。特定の証明書発行者に承認を付与します。 (そして セクション5. は、issuewildが全体的に同じセマンティクスでどのように機能するかを説明しますが、ワイルドカード名を持つ要求に固有です。)
これにより、これらのサブドメインのタグとしてCAAまたはissueを含むレコードを含まないissuewildレコードセットを公開する場合、仕様によれば、これらのサブドメインは制限されていないように思われるという結論に至ります。このようなCAARRsetの例は、iodefタグが付いたレコードのみです。
YMMV、サブドメインの実際のCAA発行ポリシーを公開するか、CAAを完全に放棄する方が現実的であることが判明する場合があります。