DNS Certification Authority Authorization ( CAA ) er en DNS- basert spesifikasjon som lar innehaveren av et domenenavn oppgi sertifiseringsmyndigheter (CAer) som er autorisert til å utstede sertifikater for det domenet. Denne mekanismen skal ikke tjene som ytterligere bekreftelse for en TLS-klient (nettleser i HTTPS, for eksempel, se DANE i dette tilfellet), men snarere som bekreftelse / avslag til sertifiseringsmyndighetene i sertifikatutstedelsesprosessen.
Autorisasjon for DNS-sertifiseringsmyndighet er spesifisert av RFC 6844. Den definerer en ny type DNS-ressurspost: "CAA", som kan lagre et bredt spekter av informasjon som er nyttig for sertifiseringsmyndigheter, for eksempel URL-er til autoriserte myndigheter for å utstede et sertifikat eller som en nettjeneste eller en kontakt-e-postadresse som lar myndighetene kommunisere eller til og med rapportere ulike bekymringer til personen som er ansvarlig for domenenavnet.
Hver CAA-ressurspost består av enkeltbyte-flagg, en tagg og en verdi. Indikatorene brukes til å påvirke tolkningen av posten, og etiketten indikerer hvilken type informasjon som finnes i "verdi" -feltet.
For øyeblikket er bare ett flagg satt: den kritiske utstederen er representert av den viktigste biten av byten. Hvis det er aktivert (dvs. det resulterende heltallet er lik eller større enn 128), må sertifiseringsmyndigheten som ikke er i stand til å forstå eller implementere etiketten til denne posten, nekte å utstede et sertifikat for domenet. Dette ligner på hvordan kritiske utvidelser fungerer i X509-sertifikater .
I tillegg til flaggbyte er tre etiketter definert:
utgave autoriserer en autoritet (via domenenavnet, spesifisert i "verdi" -feltet) til å utstede sertifikater for domenet som registreringen peker til, issuewild ligner på utstedelse og er rettet mot å utstede jokertegnesertifikater , jod indikerer en måte for myndighetene å rapportere om en sertifikatforespørsel eller bekymring for.I sin enkleste form ser opptaket generelt ut som eksemplet nedenfor. EksempelNet-autoriteten (og bare den) er autorisert til å utstede sertifikater for domenenavnet example.com , så vel som for www.example.com og www.subdomain.example.com takket være den hierarkiske verifiseringsmekanismen:
example.com. CAA 0 issue "ca.example.net"Eksemplet nedenfor har bevisst unødvendig kompleksitet for å markere visse potensielt uheldige atferd:
CAA Resource Records (RRs) støttes av BIND DNS-server (versjoner 9.10.1B og nyere), NSD (siden versjon 4.0.1), Knot DNS-server (siden versjon 2.2.0) og PowerDNS (siden versjon 4.0.0) .