Certification Authority autoryzacji DNS ( CAA ) jest DNS- specyfikacja oparta który pozwala posiadaczowi nazwy domeny notować urzędów certyfikacji (CAS), które są dopuszczone do certyfikatów emisyjnych dla tej domeny. Mechanizm ten nie ma służyć jako dodatkowa weryfikacja dla klienta TLS (np. Przeglądarka internetowa w HTTPS, w tym przypadku DANE ), ale raczej jako potwierdzenie / odmowa dla urzędów certyfikacji w procesie wydawania certyfikatów.
Autoryzacja DNS Certification Authority Authorization jest określona w dokumencie RFC 6844. Definiuje ona nowy typ rekordu zasobów DNS: „CAA”, który może przechowywać szeroki zakres informacji przydatnych dla urzędów certyfikacji, takich jak adresy URL upoważnionych organów, które mają wydać certyfikat lub usługa internetowa lub kontaktowy adres e-mail umożliwiający władzom komunikowanie się, a nawet zgłaszanie różnych problemów osobie odpowiedzialnej za nazwę domeny.
Każdy rekord zasobu CAA składa się z jednobajtowych flag, znacznika i wartości. Wskaźniki służą do wpływania na interpretację rekordu, a etykieta wskazuje, jaki rodzaj informacji znajduje się w polu „wartość”.
Obecnie ustawiana jest tylko jedna flaga: krytyczny wydawca jest reprezentowany przez najbardziej znaczący bit bajtu. Jeśli jest włączona (tj. Wynikowa liczba całkowita jest równa lub większa niż 128), urząd certyfikacji, który nie jest w stanie zrozumieć lub zaimplementować etykiety tego rekordu, musi odmówić wydania certyfikatu dla domeny. Jest to podobne do działania krytycznych rozszerzeń w certyfikatach X509 .
Oprócz bajtu flagi zdefiniowano trzy etykiety:
kwestia upoważnia organ (poprzez swoją nazwę domeny, określoną w polu „wartość”) do wydawania certyfikatów dla domeny, na którą wskazuje rejestracja, Issuewild jest podobny do wydania i jest ukierunkowany na wydawanie certyfikatów wieloznacznych , jod wskazuje sposób, w jaki władze mogą zgłaszać żądanie certyfikatu lub wątpliwości.W najprostszej formie nagranie wygląda generalnie jak na poniższym przykładzie. Organ ExampleNet (i tylko on) jest upoważniony do wydawania certyfikatów dla domeny example.com , a także dla www.example.com i www.subdomain.example.com dzięki hierarchicznemu mechanizmowi weryfikacji:
example.com. CAA 0 issue "ca.example.net"Poniższy przykład celowo ma niepotrzebną złożoność, aby podkreślić pewne potencjalnie niefortunne zachowania:
Rekordy zasobów CAA (RR) są obsługiwane przez serwer BIND DNS (wersja 9.10.1B i nowsze), NSD (od wersji 4.0.1), serwer Knot DNS (od wersji 2.2.0) i PowerDNS (od wersji 4.0.0) .