DNS Certification Authority Authorization(CAA)とは、ドメイン名の所有者が認証局に対して、自分のドメイン名の公開鍵証明書の発行を許可するかどうかを指定できるようにするインターネットセキュリティポリシーのしくみである。新たに「CAA」というDomain Name System(DNS)レコードを使用することによって実現している。
パブリックに信頼されている認証局のセキュリティに対する懸念から、コンピュータ科学者のPhillip Hallam-Baker(英語版)とRob Stradingが草案を作成した。Internet Engineering Task Force(IETF)のproposed standardとして提案されている。
例
ca.example.netという名前の認証局だけにexample.comとそのすべてのサブドメインの証明書の発行を認可することを示すには、次のようなCAAレコードが指定できる[1]。
example.com. IN CAA 0 issue "ca.example.net"
すべての証明書の発行を禁止するには、次のように空の発行者リストを指定する。
example.com. IN CAA 0 issue ";"
認証局に無効な証明書リクエストを特定のメールアドレスとReal-time Inter-network Defense(英語版)に通知するように指示するには、次のように指定する。
example.com. IN CAA 0 iodef "mailto:[email protected]"
example.com. IN CAA 0 iodef "http://iodef.example.com/"
将来のプロトコルの拡張を利用するには、たとえば、認証局が安全に処理する前に認識する必要がある新しいfutureという名前のプロパティを利用するにはissuer criticalフラグを設定することもできる。
example.com. IN CAA 0 issue "ca.example.net"
example.com. IN CAA 128 future "value"
関連項目
出典
外部リンク