1. Introduction
1. Introduction
L'enregistrement de ressource DNS Certification Authority Authorization (CAA) permet au détenteur d'un nom de domaine DNS de spécifier les autorités de certification (CA) autorisées à délivrer des certificats pour ce nom. La publication d'enregistrements CAA permet à une CA publique de mettre en œuvre des contrôles supplémentaires pour réduire le risque de délivrance incorrecte non intentionnelle de certificats.
Comme l'enregistrement TLSA défini dans DNS-Based Authentication of Named Entities (DANE) [RFC6698], les enregistrements CAA font partie d'un mécanisme de vérification des données de certificat PKIX [RFC6698]. La distinction entre CAA et TLSA est que les enregistrements CAA spécifient un contrôle d'autorisation effectué par une CA avant la délivrance d'un certificat, tandis que les enregistrements TLSA spécifient un contrôle de vérification effectué par une partie dépendante (Relying Party) après la délivrance.
La conformité à un enregistrement CAA publié est une condition nécessaire mais non suffisante pour la délivrance d'un certificat.
Les critères d'inclusion de certificats d'ancre de confiance intégrés dans les applications sont hors du périmètre de ce document. En général, ces critères exigent que la CA publie une Certification Practices Statement (CPS) précisant comment les exigences de la Certificate Policy (CP) sont satisfaites. Il est également courant qu'une CA fasse appel à un auditeur tiers indépendant pour établir une déclaration d'audit annuelle sur sa conformité à sa CPS.
Un ensemble d'enregistrements CAA décrit uniquement les autorisations actuelles de délivrance de certificats pour le nom de domaine DNS correspondant. Comme les certificats sont valides pendant une période, un certificat non conforme aux enregistrements CAA actuellement publiés peut avoir été conforme aux enregistrements publiés au moment de la délivrance. Les parties dépendantes NE DOIVENT PAS utiliser les enregistrements CAA dans le cadre de la validation des certificats.
Les enregistrements CAA PEUVENT être utilisés par les Certificate Evaluators comme indicateur possible de violation de politique de sécurité. Une telle utilisation DEVRAIT tenir compte du fait que les enregistrements CAA publiés peuvent avoir changé entre le moment de la délivrance du certificat et celui où le Certificate Evaluator l'a observé.