
<div dir="ltr">Hi everyone,<div><br></div><div>I'd like to contribute some text around the use of CAA records, as this is a helpful technology to improve an organization's use of X.509 PKI. Before I do a pull request, I though I'd share my proposed text on the list for discussion. Let me know if you have any edits or change requests, or if you feel this is out of scope of the document.</div><div><br></div><div>Thanks!</div><div>Maarten</div><div><br></div><div><br></div><div>Proposed contribution:</div><div><br></div><div><br></div><div>


<p class="MsoNormal"><b>Certificate Authority

Authorization Records (CAA)</b></p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">RFC 6844 describes Certification Authorization Records, a

mechanism for domain name owners to signal which Certificate Authorities are

authorized to issue certificates for their domain.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">When a CAA record is defined for a particular domain, it

specifies that the domain owner requests Certificate Authorities to validate

any request against the CAA record. If the certificate issuer is not listed in

the CAA record, it should not issue the certificate.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">The RFC also permits Certificate Evaluators to test an

issued certificate against the CAA record, but should exercise caution, as the

CAA record may change during the lifetime of a certificate, without affecting

its validity. </p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">CAA also supports an iodef property type which can be

requested by a Certificate Authority to report certificate issue requests which

are inconsistent with the issuer’s Certificate Policy.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><i>Configuration</i></p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><b>BIND supports CAA

records as of version 9.9.6. </b></p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">A CAA record can be configured by adding it to the zone file:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">$ORIGIN

<a href="http://example.com">example.com</a></p>


<p class="MsoNormal">       CAA 0 issue

"<a href="http://ca1.org">ca1.org</a>"<br>

       CAA 0 iodef “mailto:<a href="mailto:security@example.com">security@example.com</a>”</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">If your organization uses multiple CA’s, you can configure

multiple records:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">      CAA 0 issue

"<a href="http://ca1.org">ca1.org</a>"</p>


<p class="MsoNormal">      CAA 0 issue

"<a href="http://ca2.org">ca2.org</a>"</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">“<a href="http://ca1.org">ca1.org</a>” and “<a href="http://ca2.org">ca2.org</a>” are unique identifiers for the CA

you plan on using. These strings can be obtained from your Certificate

Authority, and typically are its top level domain. An example is “letsencryptorg”

for the Let’s Encrypt CA operated by the Internet Security Research Group.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><b>Knot-DNS supports CAA

records as of version 2.2.0.</b></p>


<p class="MsoNormal"><b> </b></p>


<p class="MsoNormal"><i>Validation</i></p>


<p class="MsoNormal"><i> </i></p>


<p class="MsoNormal">Once a CAA record is deployed, it can be validated using the

following dig query:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black">user@system:~$ dig CAA <a href="http://google.com">google.com</a></span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black"> </span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black">; <<>> DiG 9.10.3-P4-Debian

<<>> CAA <a href="http://google.com">google.com</a></span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black"> </span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black">;; ANSWER SECTION:</span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black"><a href="http://google.com">google.com</a>.          3600 IN   CAA  0

issue "<a href="http://symantec.com">symantec.com</a>"</span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black"> </span></p>


<p class="MsoNormal"><br></p><p class="MsoNormal">On older versions of Dig, which do not support CAA records,

you can query the record type manually:</p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black"> </span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black">dig

+short -t TYPE257 <a href="http://google.com">google.com</a></span></p>


<p class="MsoNormal"><span style="font-size:11pt;font-family:Menlo;color:black">\#

19 0005697373756573796D616E7465632E636F6D</span></p>


</div></div>