O RFC 6844
relevante não exige nenhum padrão para o emissor, na verdade o contrário, concede liberdade quase completa:
The semantics of issuer-parameters are determined by the issuer alone.
Mas, para dar um passo atrás: os registros da CAA não eram destinados, até onde eu sei, a serem usados pelos usuários finais para validar se o certificado TLS que eles recebem é emitido pelo emissor do certificado correto.
Pretende-se que seja utilizado apenas por um emissor de certificado (respeitável) para validar que está autorizado a emitir um (novo) certificado para esse host / domínio.
É somente o emissor do certificado que precisa verificar se o que eles esperam / exigem está presente no registro da CAA, se existir um registro da CAA.
O emissor do certificado, ou seja, sua autoridade de certificação, precisará comunicar quais domínios eles reconhecem nos registros de problemas da CAA. E também quais, se houver, outros parâmetros de que eles precisam.
Por exemplo: Comodo, que usa comodo.com
para sua marca on-line, é totalmente livre para reconhecer o domínio completamente diferente comodoca.com
nos registros da CAA. Na verdade, os CAs também não estão restritos a reconhecer apenas um único domínio - o Comodo, por exemplo, reconhece comodo.com
, comodoca.com
, usertrust.com
e trust-provider.com
Observação: os registros da CAA são usados apenas ao emitir um certificado. A engenharia reversa do que o registro CAA deve ter de certificados válidos que já foram emitidos não tem nenhuma finalidade imediata.
Where should CAA issuer IDs be obtained from?
Até onde sei, não há nada que você possa automatizar facilmente com relação a isso, mas por uma abordagem manual: O fórum da CA / Browser requer um local uniforme para essas informações para ser publicado:
"Em vigor a partir de 8 de setembro de 2017, seção 4.2 de uma Política de Certificação da CA e / ou prática de certificação
A declaração DEVERÁ declarará a política ou a prática da CA em
processamento de registros da CAA para nomes de domínio totalmente qualificados; essa política deve ser consistente com estes
Requisitos deve especificar claramente o conjunto de Nomes de domínio do emissor que a CA reconhece no CAA " issue
" ou
" issuewild
" registra como se fosse permitido. "