DNS Certification Authority Authorization
| ステータス | Proposed Standard |
|---|---|
| 初版 | 2010年10月18日 |
| 最新版 |
RFC 8659 November 2019 |
| 組織 | IETF |
| 著者 |
|
| 略称 | CAA |
| インターネットセキュリティ プロトコル |
|---|
| キーマネジメント |
| アプリケーション層 |
| DNS |
| インターネット層 |
 | この記事は英語版の対応するページを翻訳することにより充実させることができます。(2021年1月) 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
DNS Certification Authority Authorization(CAA)とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。新たに「CAA」というDomain Name System(DNS)レコードを使用することによって実現している。
パブリックに信頼されている認証局のセキュリティに対する懸念から、コンピュータ科学者のPhillip Hallam-BakerとRob Stradingが草案を作成した。Internet Engineering Task Force(IETF)のproposed standardとして提案されている。
例
[編集]ca.example.netという名前の認証局だけにexample.comとそのすべてのサブドメインの証明書の発行を認可することを示すには、次のようなCAAレコードが指定できる[1]。
example.com. IN CAA 0 issue "ca.example.net"
すべての証明書の発行を禁止するには、次のように空の発行者リストを指定する。
example.com. IN CAA 0 issue ";"
認証局に無効な証明書リクエストを特定のメールアドレスとReal-time Inter-network Defenseに通知するように指示するには、次のように指定する。
example.com. IN CAA 0 iodef "mailto:security@example.com" example.com. IN CAA 0 iodef "http://iodef.example.com/"
将来のプロトコルの拡張を利用するには、たとえば、認証局が安全に処理する前に認識する必要がある新しいfutureという名前のプロパティを利用するにはissuer criticalフラグを設定することもできる。
example.com. IN CAA 0 issue "ca.example.net" example.com. IN CAA 128 future "value"
関連項目
[編集]- Certificate authority compromise
- Certificate Transparency
- DNS-based Authentication of Named Entities
- HTTP Public Key Pinning
- List of DNS record types
出典
[編集]- ^ DNS Certification Authority Authorization (CAA) Resource Record (英語). IETF. November 2019. doi:10.17487/RFC8659. ISSN 2070-1721. RFC 8659。
外部リンク
[編集]- RFC 8659
- List of CA identifiers for use in CAA records at Common CA Database