CAA问题--多级子域

Question

CAA可能确保颁发的证书来自我的CA，而不是来自另一个CA。

在DNS中给出：

example.com. 300 IN CAA 0 issue "ca.example.com"
example.com. 300 IN CAA 0 issuewild "ca.example.com"

问题1:我的CA可以使用它来发布以下子域吗？

a.b.c.example.com
d.e.f.example.com

问题2:如果这是不可能的，在DNS中最简单的方法是什么？我们有很多子域。

Answer 1

CAA规范包括DNS在根上行走。

因此，首先将对a.b.c.example.com上的CAA记录执行DNS查询，如果失败，则对b.c.example.com、c.example.com等进行相同的查询，直到找到匹配或到达根。

参见RFC 8659§3，其中显示了要使用的算法：

  RelevantCAASet(domain):
    while domain is not ".":
      if CAA(domain) is not Empty:
        return CAA(domain)
      domain = Parent(domain)
    return Empty

根据这一解释：

对RRset的搜索将DNS名称树从指定的标签提升到但不包括DNS根“。直到找到CAA RRset。

因此，对你问题1的回答是肯定的，因此问题2就消失了。