4.2. CAA issue Property (CAA issue プロパティ)
4.2 CAA issue Property (CAA issue プロパティ)
FQDN の関連 RRset に issue プロパティタグが存在する場合, 発行者に対して次を求めます.
-
その FQDN に対する CAA issue 制限処理を実行すること, および
-
その FQDN を含む証明書を発行する権限を,
issuer-domain-nameの保有者, またはその保有者の明示的な権限の下で行動する当事者に付与すること.
CAA issue プロパティ値は次のサブ構文を持ちます ([RFC5234] に従う ABNF).
issue-value = *WSP [issuer-domain-name *WSP]
[";" *WSP [parameters *WSP]]
issuer-domain-name = label *("." label)
label = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
parameters = (parameter *WSP ";" *WSP parameters) / parameter
parameter = tag *WSP "=" *WSP value
tag = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
value = *(%x21-3A / %x3C-7E)
DNS 管理の他の側面との一貫性のため, FQDN 値は LDH ラベル (letter-digit-hyphen Label) 形式で指定します.
次の CAA RRset は, ca1.example.net または ca2.example.org 以外の発行者による FQDN "certs.example.com" への証明書発行を求めません.
certs.example.com CAA 0 issue "ca1.example.net"
certs.example.com CAA 0 issue "ca2.example.org"
FQDN の関連 RRset に issue プロパティタグがあると発行が制限されるため, FQDN 保有者は issuer-domain-name のない issue プロパティタグで発行拒否を要求できます.
例えば次の RRset は, いかなる発行者も FQDN "nocerts.example.com" に証明書を発行しないことを求めます.
nocerts.example.com CAA 0 issue ";"
issue-value が ABNF 文法に合致しない issue プロパティタグは, 空の issuer-domain-name を指定したものと同様に扱わなければなりません. 例えば次の不正な CAA RRset は発行を禁止します.
malformed.example.com CAA 0 issue "%%%%%"
CAA の承認は加算的です. したがって空と非空の issuer-domain-name の両方を指定した結果は, 非空のみを指定した場合と同じです.
発行者は, 特定の検証方針の適用, 特定アカウントへの課金, 特定トラストアンカ下での発行など, その発行者による証明書発行をさらに制約するパラメータを指定してもよいです.
例えば ca1.example.net が顧客 account.example.com に, (CA 定義の) account パラメータでアカウント番号 "230123" を各 CAA レコードに書くよう求めた場合, 次のようになります.
account.example.com CAA 0 issue "ca1.example.net; account=230123"
issue プロパティタグへのパラメータの意味は発行者のみが決定します.