Prendo il seguente record DNS CAA per google.com utilizzando il server DNS pubblico di Google
google.com. CAA 0 issue "symantec.com"
Per www.google.com e mail.google.com I non vedi record CAA DNS. Il record CAA precedente si applica a tutti i sottodomini di google.com?
Qualche altra CA (a parte "symantec.com") che supporti CAA emetterebbe un certificato per mail.google.com?
Does above CAA record applies for all sub domains of google.com?
Tutti i sottodomini che non specificano i CAA di record.
Vedi, ad esempio, l'esempio in sezione 3 :
The following example is a DNS zone file (see [RFC1035]) that informs
CAs that certificates are not to be issued except by the holder of
the domain name 'ca.example.net' or an authorized agent thereof.
This policy applies to all subordinate domains under example.com.
$ORIGIN example.com
. CAA 0 issue "ca.example.net"
E l'algoritmo di ricerca in sezione 4 .
Se, ad esempio, mail.google.com ha il proprio record CAA (attualmente non lo è), quel record si applicherebbe alle richieste di certificati per mail.google.com .
Can any other CA (apart from "symantec.com") that supports CAA would issue certificate for mail.google.com ?
Se le loro query DNS hanno successo e seguono rigorosamente la politica CAA, no. Allo stato attuale, poche CA implementano CAA, e alcuni considerano CAA più ciò che chiameresti linee guida rispetto alle regole effettive e contrassegna i certificati per un esame approfondito, ma non escludono e rifiutano l'emissione di rifiuti.
Riguardo al tuo esempio specifico di mail.google.com , qualsiasi CA competente a metà strada ha google.com sul suo elenco VIP e segnala le richieste di certificati, rifiutandole a titolo definitivo o dubitando strongmente che siano valide. È molto improbabile che un CA casuale emetterebbe un errore - o genererebbe del tutto - un certificato google.com a meno che i loro sistemi di convalida non fossero compromessi o le persone avessero pistole alla testa.
Leggi altre domande sui tag dns public-key-infrastructure certificate-authority