1. Introduction (Einführung)
1. Introduction (Einführung)
Der DNS-Ressourceneintrag Certification Authority Authorization (CAA) erlaubt es dem Inhaber eines DNS-Domainnamens, die Zertifizierungsstellen (CAs) anzugeben, die berechtigt sind, Zertifikate für diesen Domainnamen auszustellen. Die Veröffentlichung von CAA-Ressourceneinträgen ermöglicht es einer öffentlichen CA, zusätzliche Kontrollen zu implementieren, um das Risiko unbeabsichtigter falscher Zertifikatsausstellung zu verringern.
Wie der in DNS-Based Authentication of Named Entities (DANE) [RFC6698] definierte TLSA-Eintrag werden CAA-Einträge als Teil eines Mechanismus zur Prüfung von PKIX-[RFC6698]-Zertifikatsdaten verwendet. Der Unterschied zwischen CAA und TLSA ist, dass CAA-Einträge eine Autorisierungskontrolle spezifizieren, die eine CA vor Ausstellung eines Zertifikats durchführt, während TLSA-Einträge eine Verifikationskontrolle spezifizieren, die eine vertrauende Partei (Relying Party) nach Ausstellung durchführt.
Die Einhaltung eines veröffentlichten CAA-Eintrags ist eine notwendige, aber nicht hinreichende Bedingung für die Zertifikatsausstellung.
Kriterien für die Aufnahme eingebetteter Vertrauensankerzertifikate in Anwendungen liegen außerhalb dieses Dokuments. Üblicherweise verlangen solche Kriterien, dass die CA eine Certification Practices Statement (CPS) veröffentlicht, die beschreibt, wie die Anforderungen der Certificate Policy (CP) erfüllt werden. Es ist auch üblich, dass eine CA einen unabhängigen Drittanbieter-Auditor mit einer jährlichen Auditstellung zur Leistung gegenüber der CPS beauftragt.
Ein Satz von CAA-Einträgen beschreibt nur aktuelle Erteilungen der Befugnis zur Zertifikatsausstellung für den entsprechenden DNS-Domainnamen. Da Zertifikate für einen Zeitraum gültig sind, kann ein Zertifikat, das nicht mit den derzeit veröffentlichten CAA-Einträgen übereinstimmt, mit den zum Ausstellungszeitpunkt veröffentlichten CAA-Einträgen übereingestimmt haben. Vertrauende Partien DÜRFEN CAA-Einträge nicht als Teil der Zertifikatsvalidierung verwenden.
CAA-Einträge KÖNNEN von Certificate Evaluators als möglicher Indikator für eine Verletzung der Sicherheitsrichtlinie genutzt werden. Eine solche Nutzung SOLLTE berücksichtigen, dass veröffentlichte CAA-Einträge sich zwischen Ausstellungszeitpunkt und Beobachtung des Zertifikats geändert haben können.