¿La política de DNS CAA se aplica a todos los subdominios?

  

¿Se aplica el registro CAA anterior a todos los subdominios de google.com?

Todos los subdominios que no especifican CAA de registros propios.

Vea, por ejemplo, el ejemplo en sección 3 :

The following example is a DNS zone file (see [RFC1035]) that informs
CAs that certificates are not to be issued except by the holder of
the domain name 'ca.example.net' or an authorized agent thereof.
This policy applies to all subordinate domains under example.com.

$ORIGIN example.com
.       CAA 0 issue "ca.example.net"

Y el algoritmo de búsqueda en sección 4 .

Si, por ejemplo, mail.google.com tuviera su propio registro CAA (actualmente no lo tiene), ese registro se aplicaría a las solicitudes de certificados para mail.google.com .

  

¿Cualquier otra CA (aparte de "symantec.com") que admita CAA emitiría un certificado para mail.google.com?

Si sus consultas de DNS son exitosas y siguen estrictamente la política de CAA, no. Tal como está actualmente, pocas CA implementan CAA, y algunos consideran que CAA es más lo que llamarían pautas que las reglas reales, y marcan los certificados para un examen adicional, pero no rechazan y rechazan la emisión.

Con respecto a su ejemplo específico de mail.google.com , cualquier CA medianamente competente tiene google.com en su lista VIP y marca las solicitudes de certificados, rechazándolas directamente o asegurándose doblemente de que sean válidas. Es muy poco probable que una AC aleatoria haga una pérdida, o emita un certificado de google.com , a menos que sus sistemas de validación estuvieran comprometidos o la gente tuviera armas en sus cabezas.