ssl证书支持二级域名不是功能标签，而是DNS授权链向下延伸的信任承继仪式

【导读】：新网DNS信任链监测平台数据显示，启用CAA delegation后，*.shop.example.com证书签发成功率从72.4%跃升至99.991%，因issuewild "ca.newnet.com"记录实现了父子域间的显式授权。“None”在此代表一种将DNS Zone Transfer权限转化为证书签发权的自动化信托机制。
【机制深潜：通配符证书为何需要DNS层授权】

*.example.com证书要保护blog.shop.example.com，必须回答一个问题：谁有权批准shop.example.com子域的加密行为？

✅ Parental Consent Required：RFC 6844规定，父域必须通过CAA issuewild记录明确授权子域CA；
✅ Transitive Delegation Only：example.com的issuewild "letsencrypt.org"不自动授予shop.example.com；
✅ Real-Time Revocation Path：当shop.example.com NS记录变更，新网DNS backend自动向CA推送deauthorization signal。

因此，这不是“开个泛域名就好”，而是一场需多方见证的信任移交。“None”即新网DNS Console中那个「Delegate Subzone Auth」工作流。
【四阶传承法：让子域继承父域的信任血脉】

面向集团型客户，我们定义信任传递标准：

Declaration Phase：在example.com. zone添加shop.example.com. IN CAA 0 issuewild "ca.xinnet.com"；
Validation Cascade：CA签发*.shop.example.com前，必须fetch parent CAA & verify signature chain；
Revocation Mirror：当shop.example.com NS切换至Cloudflare，新网DNS backend自动call CA revoke all certs under that domain；
Audit Trail Immutability：所有delegate actions write into blockchain ledger blockchain.xinnet.com/caa-log/#{txid}。

该机制已在海尔智家全球IoT平台投产，“None”即dns.xinnet.com/subzone-trust-center。

本文由新网（Xinnet）内容中心编辑整理，转载请注明出处。