1. Introduction (简介)

1. Introduction (简介)

证书颁发机构授权 (Certification Authority Authorization, CAA) DNS 资源记录允许 DNS 域名持有者指定被授权为该域名颁发证书的证书颁发机构 (Certification Authorities, CAs)。发布 CAA 资源记录允许公共 CA 实施额外的控制措施, 以降低意外证书错误颁发的风险。

与 DNS-Based Authentication of Named Entities (DANE) [RFC6698] 中定义的 TLSA 记录类似, CAA 记录被用作检查 PKIX [RFC6698] 证书数据的机制的一部分。CAA 和 TLSA 之间的区别在于, CAA 记录指定了在颁发证书之前由 CA 执行的授权控制, 而 TLSA 记录指定了在证书颁发之后由依赖方 (Relying Party) 执行的验证控制。

符合已发布的 CAA 记录是颁发证书的必要但非充分条件。

将嵌入式信任锚证书包含在应用程序中的标准超出了本文档的范围。通常, 这些标准要求 CA 发布证书实践声明 (Certification Practices Statement, CPS), 该声明指定如何实现证书策略 (Certificate Policy, CP) 的要求。CA 聘请独立的第三方审计员准备其根据 CPS 的年度审计声明也很常见。

一组 CAA 记录仅描述为相应 DNS 域名颁发证书的当前授权授予。由于证书在一段时间内有效, 因此不符合当前发布的 CAA 记录的证书可能符合证书颁发时发布的 CAA 记录。依赖方绝对不能将 CAA 记录用作证书验证的一部分。

证书评估者 (Certificate Evaluators) 可以将 CAA 记录用作安全策略违规的可能指示符。这种使用应该考虑到已发布的 CAA 记录可能在证书颁发时间和证书评估者观察到证书的时间之间发生了变化的可能性。