子域的限制较小的CAA记录

Question

我有一个我控制的根域和一组子域，但是其他人对它们负责。

我想为我的根域添加一个CAA保护，但我不想限制子域用户使用他们选择的证书颁发机构。

不幸的是，子域继承父域的issue标记。是否存在允许任何权威机构向特定子域颁发证书的技术可能性？空字符串的意思是“没有人”。

Answer 1

基于仅仅查看CAA规范，似乎在技术上应该可以做您所要求的事情。但是，这不是我在其他地方讨论过的场景，在实现他们的CAA验证时，CA可能没有考虑到这种情况。

在规范中看起来可行的方法归结为：

• 第4条(核证机关处理)描述了CA应该如何定位相关的CAA记录集，方法是从证书请求中指定的名称开始，并使用他们在向根目录工作时遇到的第一个非空CAA RRSet。
• 财6844第5.2节(CAA发行财产)描述了如何使用issue属性标记请求证书颁发者对域执行CAA颁发限制处理，并向特定的证书颁发者授予授权。( 第5.3节描述了issuewild如何处理总体相同的语义，但特定于具有通配符名称的请求。)

这使我得出这样的结论:如果要在这些子域中发布不包含以issue或issuewild作为标记的记录的D16记录集，那么根据规范，这些子域应该是不受限制的。这样的CAA RRset的一个例子就是一个带有iodef标记的记录。

YMMV可能会更实用，要么只是发布子域的实际CAA发行策略，要么完全放弃CAA。