5.4. Suppression or Spoofing of CAA Records (CAA レコードの抑圧または偽装)

5.4 Suppression or Spoofing of CAA Records (CAA レコードの抑圧または偽装)

CAA レコードの抑圧または偽の CAA レコードの挿入は, 攻撃者が影響を受けた FQDN に対して認証されていない発行者から証明書を取得できるようにし得ます.

可能であれば, 発行者は DNSSEC 検証を行い, 欠落または改変された CAA RRset を検出すべきです.

対応する FQDN に DNSSEC が展開されていない場合, 発行者は適切な DNS セキュリティ制御でこのリスクを緩和しようとすべきです. 例えば DNS ルックアップ過程のすべては権威ネームサーバに対して行うべきです. 第三者がキャッシュしたデータを DNS CAA 情報の唯一の情報源として依存してはなりませんが, 追加の反偽装または反抑圧制御を支援するために使用してもよいです.

5.4 Suppression or Spoofing of CAA Records (CAA レコードの抑圧または偽装)​

5.4 Suppression or Spoofing of CAA Records (CAA レコードの抑圧または偽装)