DNS Certification Authority Authorization

DNS Certification Authority Authorization
ステータス Proposed Standard
初版 2010年10月18日 (2010-10-18)
最新版 RFC 8659
November 2019
組織 IETF
著者
略称 CAA

DNS Certification Authority AuthorizationCAA)とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。新たに「CAA」というDomain Name System(DNS)レコードを使用することによって実現している。

パブリックに信頼されている認証局のセキュリティに対する懸念から、コンピュータ科学者のPhillip Hallam-Baker英語版とRob Stradingが草案を作成した。Internet Engineering Task Force(IETF)のproposed standardとして提案されている。

[編集]

ca.example.netという名前の認証局だけにexample.comとそのすべてのサブドメインの証明書の発行を認可することを示すには、次のようなCAAレコードが指定できる[1]

example.com.  IN  CAA 0 issue "ca.example.net" 

すべての証明書の発行を禁止するには、次のように空の発行者リストを指定する。

example.com.  IN  CAA  0 issue ";" 

認証局に無効な証明書リクエストを特定のメールアドレスReal-time Inter-network Defense英語版に通知するように指示するには、次のように指定する。

example.com.  IN  CAA 0 iodef "mailto:[email protected]" example.com.  IN  CAA 0 iodef "http://iodef.example.com/" 

将来のプロトコルの拡張を利用するには、たとえば、認証局が安全に処理する前に認識する必要がある新しいfutureという名前のプロパティを利用するにはissuer criticalフラグを設定することもできる。

example.com.  IN  CAA  0 issue "ca.example.net" example.com.  IN  CAA  128 future "value" 

関連項目

[編集]

出典

[編集]

外部リンク

[編集]