1. Introduction (はじめに)

1. Introduction (はじめに)

認証局認可 (Certification Authority Authorization, CAA) DNS リソースレコードは, DNS ドメイン名保有者がそのドメイン名に対して証明書を発行してよい認証局 (Certification Authorities, CAs) を指定できるようにします. CAA リソースレコードの公開は, 公開 CA が意図しない証明書の誤発行リスクを減らす追加制御を実装できるようにします.

DNS ベース実体認証 (DNS-Based Authentication of Named Entities, DANE) [RFC6698] で定義される TLSA レコードと同様に, CAA レコードは PKIX [RFC6698] 証明書データを検査する仕組みの一部として使われます. CAA と TLSA の違いは, CAA レコードが証明書発行前に CA が行う承認制御を指定し, TLSA レコードが証明書発行後に依存当事者 (Relying Party) が行う検証制御を指定する点です.

公開された CAA レコードへの適合は, 証明書発行の必要だが十分ではない条件です.

アプリケーションに埋め込まれたトラストアンカ証明書を含める基準は本ドキュメントの範囲外です. 通常, そのような基準は CA が証明書方針 (Certificate Policy, CP) の要件をどのように満たすかを規定する認証実務記述 (Certification Practices Statement, CPS) を公開することを求めます. CA が独立した第三者監査人に CPS に対する年次監査声明の作成を依頼することも一般的です.

一組の CAA レコードは, 対応する DNS ドメイン名に対する証明書発行の現在の権限付与のみを記述します. 証明書は一定期間有効であるため, 現在公開されている CAA レコードに適合しない証明書が, 発行時点で公開されていた CAA レコードには適合していたことがあります. 依存当事者は, 証明書検証の一部として CAA レコードを使用してはなりません.

証明書評価者 (Certificate Evaluator) は, セキュリティ方針違反の可能性のある指標として CAA レコードを使用してもよいです. そのような使用では, 証明書が発行された時点と証明書評価者が証明書を観測した時点の間に公開 CAA レコードが変わった可能性を考慮すべきです.