3. Relevant Resource Record Set (関連リソースレコード集合)

3. Relevant Resource Record Set (関連リソースレコード集合)

証明書を発行する前に, 適合する CA は関連 RRset の公開の有無を確認しなければなりません. そのような RRset が存在する場合, CA は (1) 証明書要求が適用可能な CAA RRset と整合するか, または (2) 関連 CP または CPS に規定された例外が適用されると判断しない限り, 証明書を発行してはなりません. FQDN またはワイルドカードドメイン名の関連 RRset に発行を制限するプロパティタグが含まれない場合 (例: iodef プロパティタグのみ, または CA が認識しないプロパティタグのみ), CAA は発行を制限しません.

証明書要求は複数の FQDN を指定してもよく, ワイルドカードドメイン名を指定してもよいです. 発行者は, 要求に指定されたすべての FQDN とワイルドカードドメイン名について承認を検証しなければなりません.

CAA RRset の探索は, 指定ラベルから DNS 名ツリーを DNS ルート "." 直前まで (ルートは含まない) 上方向にたどり, CAA RRset が見つかるまで続けます.

特定の FQDN X に対する要求, またはワイルドカードドメイン名 *.X に対する要求が与えられたとき, 関連 RRset RelevantCAASet(X) は次のとおり決まります (擬似コード).

Let CAA(X) be the RRset returned by performing a CAA record query
for the FQDN X, according to the lookup algorithm specified in
Section 4.3.2 of [RFC1034] (in particular, chasing aliases). Let
Parent(X) be the FQDN produced by removing the leftmost label of
X.

RelevantCAASet(domain):
  while domain is not ".":
    if CAA(domain) is not Empty:
      return CAA(domain)
    domain = Parent(domain)
  return Empty

For example, processing CAA for the FQDN "X.Y.Z" where there are
no CAA records at any level in the tree RelevantCAASet would have
the following steps:

CAA("X.Y.Z.") = Empty; domain = Parent("X.Y.Z.") = "Y.Z."
CAA("Y.Z.")   = Empty; domain = Parent("Y.Z.")   = "Z."
CAA("Z.")     = Empty; domain = Parent("Z.")     = "."
return Empty

Processing CAA for the FQDN "A.B.C" where there is a CAA record
"issue example.com" at "B.C" would terminate early upon finding
the CAA record:

CAA("A.B.C.") = Empty; domain = Parent("A.B.C.") = "B.C."
CAA("B.C.")   = "issue example.com"
return "issue example.com"