In breve, no.
Ed ecco perché.
1. Non usare nomi inventati
Qualunque cosa tu faccia su Internet, quando hai davvero bisogno di un nome falso / offuscato, non invitalo e spera che in futuro possa andare bene per tutti. Con questo ragionamento, .MAIL
è diventato un TLD che non esisterà mai perché è stato abusato da così tante documentazioni.
L'RFC 2606 fornisce un insieme di valori corretti per un caso del genere, in pratica, example.com
, example.net
e .example
TLD.
2. Record CAA vuoti
Ma l'uso di nomi "falsi" non è nemmeno necessario per CAA
record.
La RFC 6844 fornisce questo esempio:
For example, the following CAA record set requests that no
certificates be issued for the domain 'nocerts.example.com' by any
certificate issuer.
nocerts.example.com CAA 0 issue ";"
Quindi fallo, non inventare un nome falso.
3. DNSSEC?
Il tuo dominio è abilitato DNSSEC?
In caso contrario, i record CAA
possono essere falsificati o eliminati
4. Uso di CAA
record: tempo di emissione vs tempo di utilizzo
"this is not verified or enforced by browsers."
Non ne hanno bisogno. Requisiti del forum CAB (sezione 3.2.2.8 del link ) , al giorno d'oggi tutte le CA sono tenute a verificare i record CAA al momento dell'emissione del certificato.
Questo è quando è importante perché il certificato sarà valido per diciamo 1 anno; e durante questo periodo di tempo il record CAA
del DNS può essere cambiato in molte cose, quindi al momento dell'uso (connessione) il browser può ottenere una risposta completamente diversa da quella al momento dell'emissione del certificato.
E Crypt32 lo ha detto nel commento, come scritto nei requisiti: "Questa clausola non impedisce alla CA di controllare i record CAA in qualsiasi altro momento."
Ma in termini di funzionalità, probabilmente stai pensando più a DANE
e ai suoi TLSA
record, vedi RFC 6698 e 7671.
Fornirebbero ai clienti l'assicurazione, al momento della connessione, per ogni dato servizio, che il server dovrebbe effettivamente utilizzare il certificato o la chiave pubblica esposta nei record TLSA
o un certificato firmato da un'autorità specifica il cui certificato è in un record TLSA
.
Ovviamente:
- hai bisogno di una zona abilitata DNSSEC per essere utili, altrimenti sono possibili attacchi di downgrade banali, e
I clienti - devono usare questi record, altrimenti non possono applicare le regole che hai messo in atto; sfortunatamente per ora per i browser è al massimo un componente aggiuntivo e certamente non una funzione di base.