Passa al contenuto principale

7. Differences from RFC 6844 (Differenze rispetto alla RFC 6844)

7. Differences from RFC 6844 (Differenze rispetto alla RFC 6844)

Questo documento rende obsoleta [RFC6844]. Il cambiamento più importante riguarda la sezione "Certification Authority Processing" (ora chiamata "Relevant Resource Record Set", sezione 3). [RFC6844] specificava un algoritmo che risaliva l'albero DNS non solo per l'FQDN elaborato ma anche per tutti i CNAME e DNAME incontrati. Ciò rendeva l'algoritmo molto inefficiente per FQDN che usano molti CNAME e avrebbe reso difficile per i provider di hosting impostare politiche CAA sui propri FQDN senza impostare politiche CAA indesiderate sugli FQDN dei clienti. Questo documento specifica un algoritmo semplificato che risale solo l'FQDN elaborato e lascia l'elaborazione di CNAME e DNAME al risolutore ricorsivo della CA.

Questo documento include anche una sezione "Deployment Considerations" (sezione 6) che dettaglia l'esperienza acquisita con il dispiegamento pratico dell'applicazione CAA tra le CA nel WebPKI.

Questo documento chiarisce la grammatica ABNF per i tag issue e issuewild e risolve alcune incongruenze con il testo. In particolare, specifica che i parametri sono separati da punto e virgola. Consente anche trattini nei Property Tag.

Questo documento chiarisce anche l'elaborazione di un RRset CAA non vuoto che non contiene tag issue o issuewild.

Questo documento rimuove la sezione intitolata "The CAA RR Type", fondendola con "Mechanism" (sezione 4) perché le definizioni erano principalmente duplicate. Sposta la sezione "Use of DNS Security" in Security Considerations (sezione 5). Rinomina "Certification Authority Processing" in "Relevant Resource Record Set" (sezione 3) e sottolinea l'uso di tale termine per definire più chiaramente quali domini sono interessati da un dato RRset.

Ultimo aggiornamento il