7. Differences from RFC 6844 (Unterschiede zu RFC 6844)

Dieses Dokument ersetzt [RFC6844]. Die wichtigste Änderung betrifft den Abschnitt "Certification Authority Processing" (jetzt "Relevant Resource Record Set", Abschnitt 3). [RFC6844] spezifizierte einen Algorithmus, der den DNS-Baum nicht nur für den verarbeiteten FQDN, sondern auch für alle unterwegs gefundenen CNAMEs und DNAMEs hinaufstieg. Dadurch wurde der Algorithmus bei FQDNs mit vielen CNAMEs sehr ineffizient und es wäre für Hosting-Anbieter schwierig gewesen, CAA-Richtlinien nur auf eigenen FQDNs zu setzen, ohne unerwünschte CAA-Richtlinien auf den FQDNs ihrer Kunden zu setzen. Dieses Dokument spezifiziert einen vereinfachten Algorithmus, der nur für den verarbeiteten FQDN den Baum hinaufsteigt und die Verarbeitung von CNAMEs und DNAMEs dem rekursiven Resolver der CA überlässt.

Dieses Dokument enthält außerdem einen Abschnitt "Deployment Considerations" (Abschnitt 6), der Erfahrungen aus dem praktischen Einsatz der CAA-Durchsetzung bei CAs im WebPKI schildert.

Dieses Dokument präzisiert die ABNF-Grammatik für die Tags issue und issuewild und behebt Inkonsistenzen mit dem Fließtext. Insbesondere werden Parameter durch Semikolons getrennt; Bindestriche in Property Tags sind erlaubt.

Dieses Dokument präzisiert auch die Verarbeitung eines CAA-RRsets, das nicht leer ist, aber keine issue- oder issuewild-Tags enthält.

Dieses Dokument entfernt den Abschnitt "The CAA RR Type" und führt ihn mit "Mechanism" (Abschnitt 4) zusammen, da die Definitionen größtenteils doppelt waren. Es verschiebt den Abschnitt "Use of DNS Security" in Security Considerations (Abschnitt 5). Es benennt "Certification Authority Processing" in "Relevant Resource Record Set" (Abschnitt 3) um und betont diesen Begriff, um klarer zu definieren, welche Domains von einem gegebenen RRset betroffen sind.

7. Differences from RFC 6844 (Unterschiede zu RFC 6844)​

7. Differences from RFC 6844 (Unterschiede zu RFC 6844)