Zum Hauptinhalt springen

5.1. Use of DNS Security (Einsatz von DNS-Sicherheit)

5.1 Use of DNS Security (Einsatz von DNS-Sicherheit)

Der Einsatz von DNSSEC zur Authentisierung von CAA-RRs wird dringend EMPFOHLEN, ist aber nicht erforderlich. Ein Aussteller DARF keine Zertifikate ausstellen, wenn dies mit dem Relevant RRset in Widerspruch steht, unabhängig davon, ob die DNS-Einträge signiert sind.

DNSSEC liefert Nichtexistenzbeweise für FQDNs und RRsets. Die DNSSEC-Prüfung ermöglicht es einem Aussteller zu unterscheiden, ob eine CAA-Antwort (1) leer ist, weil das RRset leer ist, oder (2) nicht leer, die Antwort aber unterdrückt wurde.

Mit DNSSEC kann ein Aussteller einen Nachweis archivieren, dass die Ausstellung für den FQDN autorisiert war. Die Prüfung solcher Archive kann eine Audit-Anforderung sein; die Veröffentlichung eine Transparenz-Anforderung.

Letztes Update am