如何查找证书颁发机构CAA记录值？

Question

我想为一个域发布一个CAA记录，虽然我熟悉这种格式，但我不知道该值使用什么。例如，Comodo certs将使用0 issue "comodoca.com"，Certbot将使用0 issue "letsencrypt.org"。我需要一种方法来查找在不知道引用的值时使用什么。

我知道在线CAA记录生成器存在，但我使用的CA没有列出。是否有一种方法可以在线查找此数据，或者从信任链中的某个证书中提取值？

在这种情况下，我试图了解亚马逊CloudFront使用什么(既然53路由支持CAA)，但是我想知道如何为任何发行人找到这个值。使用openssl的CLI解决方案很好，但是在线列表也可以。

编辑:检查CAA记录会变成CA强制执行两周后，将这份不完整的清单在答复中提出与Mozilla的CA列表进行比较显示出一个巨大的差异。对于那些希望今天发布CAA记录并有选择地白名单可信CA的域名所有者，网上是否没有参考资料？

Answer 1

最新的CAA标识符的最新CCADB表如下：

https://ccadb-public.secure.force.com/mozilla/CAAIdentifiersReport

( 资源页面链接到它。)

我不知道这些信息到底是什么状态，但它应该是可靠的。Mozilla根存储策略合并了通用CCADB策略，后者具有CAA准确维护信息的一般要求，而CAA标识符很少更改。

CA的CAA标识符最权威的来源是它的CP或CPS：基线要求，这是网络PKI中CA必须遵循的，目前声明：

CA的证书政策和/或认证实践声明第4.2节应说明CA关于处理完全合格域名的CAA记录的政策或做法；该政策应符合这些要求。它应明确规定CA在CAA“发布”或“发布”记录中确认的颁发者域名集允许其发布。

(版本1.8.4第2.2条)

例如，如果您检查亚马逊信托服务公司的文件，列表当前位于CPS版本1.0.13的4.2.1节中。

除此之外，亚马逊的文档目前有一个配置CAA记录页面，其中也包括列表。