Passa al contenuto principale

5.4. Suppression or Spoofing of CAA Records (Soppressione o spoofing dei record CAA)

5.4 Suppression or Spoofing of CAA Records (Soppressione o spoofing dei record CAA)

La soppressione di un record CAA o l'inserimento di un record CAA falso potrebbe consentire a un attaccante di ottenere un certificato da un emittente non autorizzato per un FQDN interessato.

Ove possibile, gli emittenti DOVREBBERO eseguire la validazione DNSSEC per rilevare RRset CAA mancanti o modificati.

Nei casi in cui DNSSEC non è dispiegato per l'FQDN corrispondente, un emittente DOVREBBE tentare di mitigare il rischio impiegando controlli di sicurezza DNS appropriati. Ad esempio, tutte le parti del processo di risoluzione DNS DOVREBBERO essere eseguite rispetto al server dei nomi autoritativo. I dati memorizzati nella cache da terzi NON DEVONO essere l'unica fonte di informazioni CAA DNS ma POSSONO supportare controlli anti-spoofing o anti-soppressione aggiuntivi.

Ultimo aggiornamento il