5.4. Suppression or Spoofing of CAA Records (Suppression ou usurpation des enregistrements CAA)

5.4 Suppression or Spoofing of CAA Records (Suppression ou usurpation des enregistrements CAA)

La suppression d'un enregistrement CAA ou l'insertion d'un enregistrement CAA frauduleux pourrait permettre à un attaquant d'obtenir un certificat d'un émetteur non autorisé pour un FQDN affecté.

Dans la mesure du possible, les émetteurs DEVRAIENT effectuer une validation DNSSEC pour détecter les RRsets CAA manquants ou modifiés.

Lorsque DNSSEC n'est pas déployé pour le FQDN correspondant, un émetteur DEVRAIT tenter d'atténuer ce risque par des contrôles de sécurité DNS appropriés. Par exemple, toutes les étapes de la résolution DNS DEVRAIENT être effectuées face au serveur de noms faisant autorité. Les données mises en cache par des tiers NE DOIVENT PAS être la seule source d'information CAA mais PEUVENT soutenir des contrôles anti-usurpation ou anti-suppression.

5.4 Suppression or Spoofing of CAA Records (Suppression ou usurpation des enregistrements CAA)​

5.4 Suppression or Spoofing of CAA Records (Suppression ou usurpation des enregistrements CAA)