Aller au contenu principal

5.1. Use of DNS Security (Utilisation de la sécurité DNS)

5.1 Use of DNS Security (Utilisation de la sécurité DNS)

L'utilisation de DNSSEC pour authentifier les RR CAA est fortement RECOMMANDÉE mais non requise. Un émetteur NE DOIT PAS délivrer de certificats si cela entrerait en conflit avec le Relevant RRset, que les enregistrements DNS correspondants soient signés ou non.

DNSSEC fournit une preuve de non-existence pour les FQDN DNS et les RRsets au sein des FQDN. La vérification DNSSEC permet donc à un émetteur de déterminer si la réponse à une requête CAA (1) est vide parce que le RRset est vide ou (2) est non vide mais que la réponse a été supprimée.

DNSSEC permet à un émetteur d'obtenir et d'archiver une preuve qu'il était autorisé à délivrer des certificats pour le FQDN. La vérification de tels archives peut être une exigence d'audit ; leur publication peut être une exigence de transparence.

Dernière mise à jour le