7. Differences from RFC 6844 (与 RFC 6844 的差异)

本文档废弃 [RFC6844]。最重要的变更是原 "Certification Authority Processing" 一节 (现称 "Relevant Resource Record Set", 见第 3 节)。[RFC6844] 规定的算法不仅对正在处理的 FQDN 做 DNS 树爬升, 还对沿途遇到的所有 CNAME 与 DNAME 做爬升。这使得在处理使用大量 CNAME 的 FQDN 时算法非常低效, 且会使托管商难以仅在自己的 FQDN 上设置 CAA 策略而不在客户 FQDN 上设置可能不需要的 CAA 策略。本文档规定简化的处理算法, 仅对正在处理的 FQDN 做树爬升, 将 CNAME 与 DNAME 的处理留给 CA 的递归解析器。

本文档还包含 "Deployment Considerations" 一节 (第 6 节), 介绍 WebPKI 中各 CA 实际部署 CAA 强制所获得的经验。

本文档澄清 issue 与 issuewild 标签的 ABNF 文法, 并解决与正文不一致之处。具体而言, 规定参数以分号分隔, 并允许 Property Tag 中含连字符。

本文档还澄清对非空但不包含任何 issue 或 issuewild 标签的 CAA RRset 的处理。

本文档删除题为 "The CAA RR Type" 的一节, 将其并入 "Mechanism" (第 4 节), 因定义大体重复。将 "Use of DNS Security" 一节移入 Security Considerations (第 5 节)。将 "Certification Authority Processing" 更名为 "Relevant Resource Record Set" (第 3 节), 并强调使用该术语以更清晰界定受给定 RRset 影响的域。

7. Differences from RFC 6844 (与 RFC 6844 的差异)​

7. Differences from RFC 6844 (与 RFC 6844 的差异)