Does above CAA record applies for all sub domains of google.com?
Tutti i sottodomini che non specificano i CAA
di record.
Vedi, ad esempio, l'esempio in sezione 3 :
The following example is a DNS zone file (see [RFC1035]) that informs
CAs that certificates are not to be issued except by the holder of
the domain name 'ca.example.net' or an authorized agent thereof.
This policy applies to all subordinate domains under example.com.
$ORIGIN example.com
. CAA 0 issue "ca.example.net"
E l'algoritmo di ricerca in sezione 4 .
Se, ad esempio, mail.google.com
ha il proprio record CAA
(attualmente non lo è), quel record si applicherebbe alle richieste di certificati per mail.google.com
.
Can any other CA (apart from "symantec.com") that supports CAA would issue certificate for mail.google.com ?
Se le loro query DNS hanno successo e seguono rigorosamente la politica CAA, no. Allo stato attuale, poche CA implementano CAA, e alcuni considerano CAA più ciò che chiameresti linee guida rispetto alle regole effettive e contrassegna i certificati per un esame approfondito, ma non escludono e rifiutano l'emissione di rifiuti.
Riguardo al tuo esempio specifico di mail.google.com
, qualsiasi CA competente a metà strada ha google.com
sul suo elenco VIP e segnala le richieste di certificati, rifiutandole a titolo definitivo o dubitando strongmente che siano valide. È molto improbabile che un CA casuale emetterebbe un errore - o genererebbe del tutto - un certificato google.com
a meno che i loro sistemi di convalida non fossero compromessi o le persone avessero pistole alla testa.