Aller au contenu principal

4.2. CAA issue Property

4.2 CAA issue Property

Si le Property Tag issue est présent dans le Relevant RRset pour un FQDN, il demande aux émetteurs :

  1. D'effectuer le traitement de restriction CAA issue pour le FQDN, et

  2. D'accorder l'autorisation de délivrer des certificats contenant ce FQDN au détenteur du issuer-domain-name ou à une partie agissant sous l'autorité explicite de ce détenteur.

La Property Value CAA issue a la sous-syntaxe suivante (ABNF selon [RFC5234]).

issue-value = *WSP [issuer-domain-name *WSP]
   [";" *WSP [parameters *WSP]]

issuer-domain-name = label *("." label)
label = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))

parameters = (parameter *WSP ";" *WSP parameters) / parameter
parameter = tag *WSP "=" *WSP value
tag = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
value = *(%x21-3A / %x3C-7E)

Pour cohérence avec d'autres aspects de l'administration DNS, les valeurs FQDN sont spécifiées sous forme d'étiquettes LDH (letter-digit-hyphen).

L'RRset CAA suivant demande qu'aucun certificat ne soit délivré pour le FQDN "certs.example.com" par un émetteur autre que ca1.example.net ou ca2.example.org.

certs.example.com         CAA 0 issue "ca1.example.net"
certs.example.com         CAA 0 issue "ca2.example.org"

Comme la présence d'un Property Tag issue dans le Relevant RRset restreint la délivrance, les détenteurs de FQDN peuvent utiliser un Property Tag issue sans issuer-domain-name pour interdire toute délivrance.

Par exemple, l'RRset suivant demande qu'aucun certificat ne soit délivré pour "nocerts.example.com".

nocerts.example.com       CAA 0 issue ";"

Un Property Tag issue dont la issue-value ne correspond pas à la grammaire ABNF DOIT être traité comme un tag spécifiant un issuer-domain-name vide. Par exemple, l'RRset CAA mal formé suivant interdit la délivrance :

malformed.example.com     CAA 0 issue "%%%%%"

Les autorisations CAA sont additives ; ainsi, spécifier à la fois un issuer-domain-name vide et non vide équivaut à ne spécifier que le non vide.

Un émetteur PEUT spécifier des paramètres restreignant davantage la délivrance, par exemple des politiques de validation, la facturation ou des ancres de confiance.

Si ca1.example.net demande à son client account.example.com d'indiquer le numéro de compte "230123" avec le paramètre account :

account.example.com   CAA 0 issue "ca1.example.net; account=230123"

La sémantique des paramètres du Property Tag issue est déterminée uniquement par l'émetteur.

Dernière mise à jour le