Passa al contenuto principale

4.2. CAA issue Property (Proprietà issue CAA)

4.2 CAA issue Property (Proprietà issue CAA)

Se il Property Tag issue è presente nel Relevant RRset per un FQDN, è una richiesta che gli emittenti:

  1. Eseguano l'elaborazione di restrizione CAA issue per il FQDN, e

  2. Concedano l'autorità di emettere certificati contenenti quel FQDN al titolare del issuer-domain-name o a una parte che agisce sotto autorità esplicita di tale titolare.

Il Property Value CAA issue ha la seguente sotto-sintassi (ABNF secondo [RFC5234]).

issue-value = *WSP [issuer-domain-name *WSP]
   [";" *WSP [parameters *WSP]]

issuer-domain-name = label *("." label)
label = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))

parameters = (parameter *WSP ";" *WSP parameters) / parameter
parameter = tag *WSP "=" *WSP value
tag = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
value = *(%x21-3A / %x3C-7E)

Per coerenza con altri aspetti dell'amministrazione DNS, i valori FQDN sono specificati in forma di etichetta LDH (letter-digit-hyphen).

Il seguente RRset CAA richiede che non vengano emessi certificati per l'FQDN "certs.example.com" da alcun emittente diverso da ca1.example.net o ca2.example.org.

certs.example.com         CAA 0 issue "ca1.example.net"
certs.example.com         CAA 0 issue "ca2.example.org"

Poiché la presenza di un Property Tag issue nel Relevant RRset per un FQDN limita l'emissione, i titolari di FQDN possono usare un Property Tag issue senza issuer-domain-name per richiedere nessuna emissione.

Ad esempio, il seguente RRset richiede che non vengano emessi certificati per l'FQDN "nocerts.example.com" da alcun emittente.

nocerts.example.com       CAA 0 issue ";"

Un Property Tag issue il cui issue-value non corrisponde alla grammatica ABNF DEVE essere trattato come uno che specifica un issuer-domain-name vuoto. Ad esempio, il seguente RRset CAA malformato vieta l'emissione:

malformed.example.com     CAA 0 issue "%%%%%"

Le autorizzazioni CAA sono additive; pertanto specificare sia un issuer-domain-name vuoto che non vuoto equivale a specificare solo quello non vuoto.

Un emittente PUÒ scegliere di specificare parametri che limitino ulteriormente l'emissione di certificati da parte di tale emittente, ad esempio specificando che i certificati siano soggetti a determinate politiche di validazione, fatturati a determinati conti o emessi sotto specifiche ancore di fiducia.

Ad esempio, se ca1.example.net ha richiesto al cliente account.example.com di specificare il numero di conto "230123" in ciascun record CAA del cliente mediante il parametro (definito dalla CA) account, si avrebbe:

account.example.com   CAA 0 issue "ca1.example.net; account=230123"

La semantica dei parametri del Property Tag issue è determinata solo dall'emittente.

Ultimo aggiornamento il