5.1. Use of DNS Security (DNS セキュリティの利用)

CAA RR を認証するために DNSSEC を用いることは強く推奨されますが, 必須ではありません. 対応する DNS レコードが署名されているかにかかわらず, 発行が関連 RRset と矛盾する場合, 発行者は証明書を発行してはなりません.

DNSSEC は DNS FQDN と FQDN 内の RRset の両方に対する非存在証明を提供します. したがって DNSSEC 検証により, 発行者は CAA レコード問い合わせの答えが (1) RRset が空であるために空なのか, (2) 空でないが応答が抑圧されたのかを判断できます.

DNSSEC を用いると発行者は FQDN に対して証明書を発行する権限があった証拠を取得し保管できます. そのような保管の検証は CAA レコード処理の適合性を検証する監査要件となり得ます. そのような保管の公開は透明性要件となり得ます.