5.5. Denial of Service (拒绝服务)

理论上, 引入格式错误或恶意的 CAA RR 可能促成拒绝服务 (DoS) 攻击。这可能通过篡改权威 DNS 记录或伪造传输中的 DNS 响应实现。

本文认为该特定威胁不会显著增加运行不安全 DNS 服务的风险。

原则上, 攻击者可通过请求带有恶意过长 DNS 名称的证书对颁发者实施 DoS。实践中, DNS 协议限制名称最大长度, CAA 处理也不会在实质程度上加剧本已存在的 DoS 缓解需求。