1. Introduction (Introduzione)
1. Introduction (Introduzione)
Il record di risorsa DNS Certification Authority Authorization (CAA) consente al titolare di un nome di dominio DNS di specificare le autorità di certificazione (CA) autorizzate a emettere certificati per quel nome. La pubblicazione di record CAA consente a una CA pubblica di implementare controlli aggiuntivi per ridurre il rischio di emissione errata non intenzionale.
Come il record TLSA definito in DNS-Based Authentication of Named Entities (DANE) [RFC6698], i record CAA fanno parte di un meccanismo di verifica dei dati di certificato PKIX [RFC6698]. La differenza è che i record CAA specificano un controllo di autorizzazione eseguito da una CA prima dell'emissione, mentre i record TLSA specificano un controllo di verifica eseguito da una parte dipendente (Relying Party) dopo l'emissione.
La conformità a un record CAA pubblicato è condizione necessaria ma non sufficiente per l'emissione.
I criteri per l'inclusione di certificati di ancora di fiducia incorporati nelle applicazioni sono fuori ambito. Tipicamente tali criteri richiedono che la CA pubblichi una Certification Practices Statement (CPS) che specifichi come siano raggiunti i requisiti della Certificate Policy (CP). È comune che una CA si avvalga di un revisore terzo indipendente per preparare una dichiarazione di audit annuale delle proprie prestazioni rispetto alla CPS.
Un insieme di record CAA descrive solo le attuali concessioni di autorità per il nome corrispondente. Poiché i certificati sono validi nel tempo, un certificato non conforme ai record attuali può essere stato conforme ai record al momento dell'emissione. Le parti dipendenti NON DEVONO usare i record CAA nella validazione del certificato.
I record CAA POSSONO essere usati dai Certificate Evaluators (valutatori di certificati) come possibile indicatore di violazione della politica di sicurezza. Tale uso DOVREBBE tenere conto della possibilità che i record CAA pubblicati siano cambiati tra il momento in cui un certificato è stato emesso e il momento in cui il Certificate Evaluator ha osservato il certificato.