5.1. Use of DNS Security (DNS 安全的使用)

强烈建议使用 DNSSEC 对 CAA RR 做身份验证, 但并非必须。若颁发证书将与相关 RRset 冲突, 则颁发者绝对不能颁发证书, 无论相应 DNS 记录是否签名。

DNSSEC 可对 DNS FQDN 以及 FQDN 内的 RRset 提供不存在证明。因此 DNSSEC 验证使颁发者能够判断对 CAA 记录查询的回答 (1) 因 RRset 为空而为空, 或 (2) 非空但响应被压制。

使用 DNSSEC 可使颁发者获得并归档其获授权为该 FQDN 颁发证书的证明。对此类归档的验证可能成为审计要求, 以核查 CAA 记录处理合规性; 公开此类归档也可能成为透明度要求, 以核查 CAA 记录处理合规性。