4.2. CAA issue Property (CAA issue-Eigenschaft)
4.2 CAA issue Property (CAA issue-Eigenschaft)
Ist der Property Tag issue im Relevant RRset für einen FQDN vorhanden, ist dies eine Aufforderung an Aussteller:
-
die CAA-
issue-Einschränkungsverarbeitung für den FQDN durchzuführen und -
die Autorisierung zur Ausstellung von Zertifikaten mit diesem FQDN an den Inhaber des
issuer-domain-nameoder eine Partei mit ausdrücklicher Vollmacht dieses Inhabers zu erteilen.
Der CAA-issue-Property Value hat folgende Unter-Syntax (ABNF gemäß [RFC5234]).
issue-value = *WSP [issuer-domain-name *WSP]
[";" *WSP [parameters *WSP]]
issuer-domain-name = label *("." label)
label = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
parameters = (parameter *WSP ";" *WSP parameters) / parameter
parameter = tag *WSP "=" *WSP value
tag = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
value = *(%x21-3A / %x3C-7E)
Aus Konsistenz mit anderer DNS-Verwaltung werden FQDN-Werte im LDH-Label-Formular angegeben.
Das folgende CAA-RRset verlangt, dass für "certs.example.com" kein Aussteller außer ca1.example.net oder ca2.example.org Zertifikate ausstellt.
certs.example.com CAA 0 issue "ca1.example.net"
certs.example.com CAA 0 issue "ca2.example.org"
Da ein issue-Property Tag im Relevant RRset die Ausstellung einschränkt, können FQDN-Inhaber ein issue-Tag ohne issuer-domain-name nutzen, um keine Ausstellung zu verlangen.
Beispiel ohne Ausstellung für "nocerts.example.com":
nocerts.example.com CAA 0 issue ";"
Ein issue-Tag mit nicht zur ABNF passendem issue-value MUSS wie ein leerer issuer-domain-name behandelt werden.
malformed.example.com CAA 0 issue "%%%%%"
CAA-Autorisierungen sind additiv; leerer und nicht leerer issuer-domain-name zusammen entsprechen nur dem nicht leeren.
Ein Aussteller KANN Parameter angeben, die die Ausstellung weiter einschränken.
account.example.com CAA 0 issue "ca1.example.net; account=230123"
Die Semantik der Parameter bestimmt allein der Aussteller.