Boulder项目中CAA记录对通配符域名验证的影响分析

背景介绍

在域名系统安全领域，CAA（Certification Authority Authorization）记录是一种重要的DNS资源记录类型，它允许域名所有者指定哪些证书颁发机构（CA）有权为其域名颁发证书。Boulder作为Let's Encrypt的ACME服务器实现，在处理证书颁发请求时需要严格遵循CAA记录的验证规则。

问题现象

当域名配置了非空的CAA记录集但不包含任何issue或issuewild记录时，Boulder在处理通配符域名（如*.example.com）的证书申请时会出现意外的验证失败。具体表现为：

1. 对于普通域名（如example.com），验证能正常通过
2. 对于通配符域名（如*.example.com），验证会意外失败

技术原理分析

根据RFC 8659标准，CAA记录的"相关RRSet"算法规定，即使CAA记录集中不包含任何issue或issuewild记录，该记录集仍被视为相关记录集。

Boulder的CAA验证逻辑在处理这种情况时存在差异：

普通域名验证流程：

1. 确认CAA记录集存在
2. 检查无关键未知记录
3. 由于无issue记录且非通配符验证，直接返回"允许颁发"

通配符域名验证流程：

1. 确认CAA记录集存在
2. 检查无关键未知记录
3. 由于是通配符验证，继续后续检查
4. 选择caaSet.issue记录作为相关记录集（因为无issuewild记录）
5. 跳过循环（因为也无issue记录）
6. 最终返回"禁止颁发"

问题本质

问题的核心在于验证逻辑中对普通域名和通配符域名的处理不一致。普通域名验证有一个明确的"无issue记录则允许"的短路路径，而通配符验证则缺少类似的短路逻辑，导致在没有issuewild记录时错误地进入了严格验证模式。

解决方案

正确的实现应该保持验证逻辑的一致性，即：

1. 对于普通域名和通配符域名，如果相关CAA记录集中既无issue也无issuewild记录，都应允许颁发
2. 只有当存在相关限制记录时，才需要进行严格的策略检查

这种处理方式更符合CAA记录的设计初衷——它本质上是一种选择性限制机制，而不是默认禁止机制。

影响范围

该问题主要影响以下场景：

• 配置了非限制性CAA记录（如仅含iodef记录）的域名
• 申请该域名下通配符证书的情况
• 使用Boulder作为CA后端的ACME服务

对于普通域名证书申请或未配置CAA记录的域名，不会受到此问题影响。

最佳实践建议

域名管理员在配置CAA记录时应注意：

1. 明确指定允许的CA（使用issue或issuewild记录）
2. 如果仅需要监控功能（使用iodef记录），应考虑同时添加允许所有CA的issue记录
3. 通配符域名的CAA策略应特别关注issuewild记录的使用

CA系统实现者应当确保CAA验证逻辑对所有类型的域名保持一致的策略处理方式，避免因实现差异导致意外的验证失败。