DNS Certification Authority Authorization(CAA)とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。新たに「CAA」というDomain Name System(DNS)レコードを使用することによって実現している。
| ステータス | Proposed Standard |
|---|---|
| 初版 | 2010年10月18日 |
| 最新版 | RFC 8659 November 2019 |
| 組織 | IETF |
| 著者 |
|
| 略称 | CAA |
この記事は英語版の対応するページを翻訳することにより充実させることができます。(2021年1月) 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
パブリックに信頼されている認証局のセキュリティに対する懸念から、コンピュータ科学者の(Phillip Hallam-Baker)とRob Stradingが草案を作成した。Internet Engineering Task Force(IETF)のproposed standardとして提案されている。
例
ca.example.netという名前の認証局だけにexample.comとそのすべてのサブドメインの証明書の発行を認可することを示すには、次のようなCAAレコードが指定できる[1]。
example.com. IN CAA 0 issue "ca.example.net"
すべての証明書の発行を禁止するには、次のように空の発行者リストを指定する。
example.com. IN CAA 0 issue ";"
認証局に無効な証明書リクエストを特定のメールアドレスと(Real-time Inter-network Defense)に通知するように指示するには、次のように指定する。
example.com. IN CAA 0 iodef "mailto:security@example.com" example.com. IN CAA 0 iodef "http://iodef.example.com/"
将来のプロトコルの拡張を利用するには、たとえば、認証局が安全に処理する前に認識する必要がある新しいfutureという名前のプロパティを利用するにはissuer criticalフラグを設定することもできる。
example.com. IN CAA 0 issue "ca.example.net" example.com. IN CAA 128 future "value"
関連項目
出典
外部リンク
- RFC 8659
- List of CA identifiers for use in CAA records at Common CA Database