DNS-Ressourceneintrag Certification Authority Authorization (CAA)

• Status: Proposed Standard
• Veröffentlicht: November 2019
• Stream: IETF
• Ersetzt: RFC6844
• Errata: Keine Errata

---

Zusammenfassung

Der DNS-Ressourceneintrag Certification Authority Authorization (CAA) ermöglicht es dem Inhaber eines DNS-Domainnamens, eine oder mehrere Zertifizierungsstellen (CAs) anzugeben, die berechtigt sind, Zertifikate für diesen Domainnamen auszustellen. CAA-Ressourceneinträge erlauben es einer öffentlichen CA, zusätzliche Kontrollen umzusetzen, um das Risiko unbeabsichtigter falscher Zertifikatsausstellung zu verringern. Dieses Dokument definiert die Syntax des CAA-Eintrags und Regeln für die Verarbeitung von CAA-Einträgen durch CAs.

Dieses Dokument ersetzt RFC 6844.

Status dieses Memos

Dies ist ein Internet-Standards-Track-Dokument.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es spiegelt den Konsens der IETF-Gemeinschaft wider. Es wurde öffentlich geprüft und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung genehmigt. Weitere Informationen zu Internet-Standards finden sich in Abschnitt 2 von RFC 7841.

Informationen zum aktuellen Status, etwaigen Errata und Feedback finden sich unter https://www.rfc-editor.org/info/rfc8659.

Copyright-Hinweis

Copyright (c) 2019 IETF Trust and the persons identified as the document authors. All rights reserved.

Dieses Dokument unterliegt BCP 78 und den Rechtsbestimmungen des IETF Trust zu IETF-Dokumenten (https://trustee.ietf.org/license-info) zum Zeitpunkt der Veröffentlichung. Aus diesem Dokument extrahierte Codekomponenten müssen den Text der vereinfachten BSD-Lizenz gemäß Abschnitt 4.e der Trust-Rechtsbestimmungen enthalten und werden ohne Gewährleistung gemäß der vereinfachten BSD-Lizenz bereitgestellt.

Contents

• 1. Introduction (Einführung)
• 2. Definitions (Definitionen)
  • 2.1 Requirements Language (Anforderungssprache)
  • 2.2 Defined Terms (Definierte Begriffe)
• 3. Relevant Resource Record Set (Relevantes Ressourceneintragsset)
• 4. Mechanism (Mechanismus)
  • 4.1 Syntax (Syntax)
    • 4.1.1 Canonical Presentation Format (Kanonisches Darstellungsformat)
  • 4.2 CAA issue Property (CAA issue-Eigenschaft)
  • 4.3 CAA issuewild Property (CAA issuewild-Eigenschaft)
  • 4.4 CAA iodef Property (CAA iodef-Eigenschaft)
  • 4.5 Critical Flag (Kritisches Flag)
• 5. Security Considerations (Sicherheitsaspekte)
  • 5.1 Use of DNS Security (Einsatz von DNS-Sicherheit)
  • 5.2 Non-compliance by Certification Authority (Nichteinhaltung durch die CA)
  • 5.3 Mis-Issue by Authorized Certification Authority (Fehlausstellung durch autorisierte CA)
  • 5.4 Suppression or Spoofing of CAA Records (Unterdrückung oder Fälschung von CAA-Einträgen)
  • 5.5 Denial of Service (Denial-of-Service)
  • 5.6 Abuse of the Critical Flag (Missbrauch des kritischen Flags)
• 6. Deployment Considerations (Bereitstellungsaspekte)
  • 6.1 Blocked Queries or Responses (Blockierte Anfragen oder Antworten)
  • 6.2 Rejected Queries and Malformed Responses (Abgelehnte Anfragen und fehlerhafte Antworten)
  • 6.3 Delegation to Private Nameservers (Delegation an private Nameserver)
  • 6.4 Bogus DNSSEC Responses (Betrügerische DNSSEC-Antworten)
• 7. Differences from RFC 6844 (Unterschiede zu RFC 6844)
• 8. IANA Considerations (IANA-Hinweise)
• 9. References (Referenzen)
  • 9.1 Normative References (Normative Referenzen)
  • 9.2 Informative References (Informative Referenzen)
• Acknowledgements (Danksagungen)
• Authors' Addresses (Anschriften der Autoren)