4.3. CAA issuewild Property (CAA issuewild 属性)

4.3 CAA issuewild Property (CAA issuewild 属性)

issuewild 属性标签与 issue 属性标签具有相同的语法和语义, 但它仅授予颁发指定通配符域名的证书的授权; 且一旦指定, 每条 issuewild 属性优先于每条 issue 属性。具体而言:

在处理不是通配符域名的 FQDN 的请求时, 必须忽略每条 issuewild 属性。

若在通配符域名的相关 RRset 中指定了至少一条 issuewild 属性, 则在处理该通配符域名的请求时必须忽略每条 issue 属性。

例如, 下列 RRset 请求 仅 ca1.example.net 为 "wild.example.com" 或 "sub.wild.example.com" 颁发证书, 仅 ca2.example.org 为 ".wild.example.com" 或 ".sub.wild.example.com" 颁发证书。此处假定 sub.wild.example.com 没有 CAA RR。

wild.example.com          CAA 0 issue "ca1.example.net"
wild.example.com          CAA 0 issuewild "ca2.example.org"

下列 RRset 请求 仅 ca1.example.net 为 "wild2.example.com", ".wild2.example.com" 或 ".sub.wild2.example.com" 颁发证书。

wild2.example.com         CAA 0 issue "ca1.example.net"

下列 RRset 请求 仅 ca2.example.org 为 ".wild3.example.com" 或 ".sub.wild3.example.com" 颁发证书。它不允许任何颁发者为 "wild3.example.com" 或 "sub.wild3.example.com" 颁发。

wild3.example.com         CAA 0 issuewild "ca2.example.org"
wild3.example.com         CAA 0 issue ";"

下列 RRset 请求 仅 ca2.example.org 为 ".wild3.example.com" 或 ".sub.wild3.example.com" 颁发证书。它允许任何颁发者为 "wild3.example.com" 或 "sub.wild3.example.com" 颁发。

wild3.example.com         CAA 0 issuewild "ca2.example.org"