Aller au contenu principal

7. Differences from RFC 6844 (Différences par rapport à la RFC 6844)

7. Differences from RFC 6844 (Différences par rapport à la RFC 6844)

Ce document rend obsolète [RFC6844]. Le changement le plus important concerne la section "Certification Authority Processing" (désormais intitulée "Relevant Resource Record Set", section 3). [RFC6844] spécifiait un algorithme qui remontait l'arbre DNS non seulement pour le FQDN traité mais aussi pour tous les CNAME et DNAME rencontrés. Cela rendait l'algorithme très inefficace pour les FQDN utilisant de nombreux CNAME et aurait rendu difficile pour les hébergeurs de définir des politiques CAA sur leurs propres FQDN sans imposer des politiques CAA indésirables sur les FQDN clients. Ce document spécifie un algorithme simplifié qui ne remonte l'arbre que pour le FQDN traité et laisse le traitement des CNAME et DNAME au résolveur récursif de la CA.

Ce document inclut également une section "Deployment Considerations" (section 6) détaillant l'expérience du déploiement pratique de l'application de CAA parmi les CA du WebPKI.

Ce document clarifie la grammaire ABNF des tags issue et issuewild et résout des incohérences avec le texte. En particulier, les paramètres sont séparés par des points-virgules. Les Property Tags peuvent contenir des tirets.

Ce document clarifie également le traitement d'un RRset CAA non vide ne contenant aucun tag issue ni issuewild.

Ce document supprime la section intitulée "The CAA RR Type", la fusionnant avec "Mechanism" (section 4) car les définitions étaient en grande partie dupliquées. Il déplace la section "Use of DNS Security" dans Security Considerations (section 5). Il renomme "Certification Authority Processing" en "Relevant Resource Record Set" (section 3) et souligne ce terme pour définir plus clairement quels domaines sont affectés par un RRset donné.

Dernière mise à jour le