4.2. CAA issue Property (CAA issue 属性)
4.2 CAA issue Property (CAA issue 属性)
若 issue 属性标签出现在某 FQDN 的相关 RRset 中, 即表示向颁发者 (Issuer) 提出如下请求:
-
对该 FQDN 执行 CAA issue 限制处理, 并
-
向
issuer-domain-name的持有者, 或经该持有者明确授权行事的当事方, 授予颁发包含该 FQDN 的证书的授权。
CAA issue 属性值具有下列子语法 (按照 [RFC5234] 的 ABNF 指定):
issue-value = *WSP [issuer-domain-name *WSP]
[";" *WSP [parameters *WSP]]
issuer-domain-name = label *("." label)
label = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
parameters = (parameter *WSP ";" *WSP parameters) / parameter
parameter = tag *WSP "=" *WSP value
tag = (ALPHA / DIGIT) *( *("-") (ALPHA / DIGIT))
value = *(%x21-3A / %x3C-7E)
为与 DNS 管理的其他方面保持一致, FQDN 值以字母-数字-连字符标签 (LDH-Label) 形式给出。
下列 CAA RRset 表示除 ca1.example.net 或 ca2.example.org 之外的任何颁发者均不得为 FQDN "certs.example.com" 颁发证书。
certs.example.com CAA 0 issue "ca1.example.net"
certs.example.com CAA 0 issue "ca2.example.org"
因为 FQDN 的相关 RRset 中存在 issue 属性标签会限制颁发, 所以 FQDN 持有者可以使用没有 issuer-domain-name 的 issue 属性标签以拒绝颁发。
例如, 下列 RRset 请求任何颁发者均不得为 FQDN "nocerts.example.com" 颁发证书。
nocerts.example.com CAA 0 issue ";"
若 issue 属性标签的 issue-value 不符合 ABNF 文法, 必须与指定空 issuer-domain-name 的标签同等对待。例如, 下列格式错误的 CAA RRset 禁止颁发:
malformed.example.com CAA 0 issue "%%%%%"
CAA 授权是可加的; 因此同时指定空与非空 issuer-domain-name 的效果与仅指定非空 issuer-domain-name 相同。
颁发者可以选择指定参数以进一步约束该颁发者的证书颁发, 例如要求证书受特定验证策略约束, 计入特定账户或在特定信任锚下颁发。
例如, 若 ca1.example.net 要求其客户 account.example.com 使用 (CA 定义的) account 参数在每个客户的 CAA 记录中指定其账号 "230123", 则形如:
account.example.com CAA 0 issue "ca1.example.net; account=230123"
issue 属性标签的参数语义仅由颁发者确定。