主页 / server / 问题 / 992735
Accepted
uav
Asked: 2019-11-22 04:19:06 +0800 CST

CAA issuewild 多级子子域

  • 772

CAA 可能会确保颁发的证书来自我的 CA,而不是来自另一个 CA。

在 DNS 中给出:

example.com. 300 IN CAA 0 issue "ca.example.com"
example.com. 300 IN CAA 0 issuewild "ca.example.com"

问题 1:我的 CA 可以使用它来颁发以下子子域吗?

a.b.c.example.com
d.e.f.example.com

问题 2:如果这不可能,那么在 DNS 中执行此操作的最简单方法是什么?我们有许多子子域。

domain-name-system

1 个回答

  1. Best Answer

    CAA 规范包括从根上走的 DNS。

    因此,首先a.b.c.example.com将完成对 CAA 记录的 DNS 查询,如果失败,则对b.c.example.com、 thenc.example.com等进行相同的查询,直到找到匹配项或到达根。

    请参阅显示要使用的算法的RFC 8659 §3:

      RelevantCAASet(domain):
    while domain is not ".":
      if CAA(domain) is not Empty:
        return CAA(domain)
      domain = Parent(domain)
    return Empty

    有了这个解释:

    搜索 CAA RRset 会将 DNS 名称树从指定标签向上爬到但不包括 DNS 根“.”。直到找到 CAA RRset。

    所以对你的问题 1 的回答是肯定的,因此问题 2 消失了。

    • 1

相关问题