CAA発行者IDはどこから取得する必要があり、どのように検証する必要がありますか？

認証局認証（CAA）DNSレコードタイプには、ドメインの証明書の発行を許可された認証局の識別子を指定するissueパラメーター（またはissuewild）が含まれます。大丈夫ですが、少しあいまいです。

独自のCAAレコードに値を設定する場合、CAの正確な値をどのように確認する必要がありますか？ letsencryptの場合、発行IDが_letsencrypt.org_であり、 Certification Practice Statement セクション4.2にも記載されているドキュメント here を提供します。 .1。証明書を調べると、さまざまなフィールドが表示されますが、containが含まれているものもありますが、この文字列に正確に一致するものはありません。これは、CAがCAAレコードの内容と一致することを保証する厳密または信頼できる方法のようには思えません。たとえば、_letsencrypt.org.evilcorp.com_との一致を停止しているのは何ですか。

これはすべて人間の観点からは実行可能ですが、機械で読み取り可能ではなく、このCAに固有のものです。

Comodoからの証明書もあり、CAAの問題IDが_comodoca.com_であると言っている（および他の人が_comodo.com_であると言っている）さまざまな権限のないソースを見つけましたが、公式のドキュメントは見つかりませんでしたLetsencryptがそのために持っているように。 _comodoca.com_文字列は、証明書の一部のフィールドに表示されますが、確実に検出されると期待されるコンテキストでは表示されません。たとえば、発行者名はCOMODO ECC Domain Validation Secure Server CA (COMODO CA Limited from GB)、CRLは_http://crl.comodoca.com/COMODOECCDomainValidationSecureServerCA.crl_およびOCSP URIは_http://ocsp.comodoca.com_です。

SSLMateには CAAレコードジェネレーター があり、CAとその発行者IDのリストが含まれています-しかし、その情報はどこから取得されましたか？

ここで、検証のケースを考えてみましょう。証明書と1つ以上のCAA発行者IDが与えられた場合、証明書のどの要素がCAA発行者と正確に一致すると予想する必要がありますか？それとも、その情報はCTログなどの他のサービスから取得されたものですか？

つまり、CAA発行者IDはどこから取得する必要があり、どのように確実に検証する必要があるのでしょうか。