5.4. Suppression or Spoofing of CAA Records (CAA 记录的抑制或欺骗)

抑制 CAA 记录或插入伪造 CAA 记录可能使攻击者从未获授权为受影响 FQDN 颁发的颁发者处取得证书。

在可能的情况下, 颁发者应该执行 DNSSEC 验证, 以检测缺失或被篡改的 CAA RRset。

若对应 FQDN 未部署 DNSSEC, 颁发者应该尝试通过适当的 DNS 安全控制来缓解该风险。例如, DNS 查找过程的各部分都应该针对权威名称服务器执行。不得将第三方缓存数据作为 DNS CAA 信息的唯一来源加以依赖, 但可以用其支持额外的反欺骗或反抑制控制。