【導讀】：新網DNS信任鏈監測平臺數據顯示，啟用CAA delegation后，*.shop.example.com證書簽發成功率從72.4%躍升至99.991%，因issuewild "ca.newnet.com"記錄實現了父子域間的顯式授權。“None”在此代表一種將DNS Zone Transfer權限轉化為證書簽發權的自動化信托機制。
【機制深潛：通配符證書為何需要DNS層授權】

*.example.com證書要保護blog.shop.example.com，必須回答一個問題：誰有權批準shop.example.com子域的加密行為？

? Parental Consent Required：RFC 6844規定，父域必須通過CAA issuewild記錄明確授權子域CA；
? Transitive Delegation Only：example.com的issuewild "letsencrypt.org"不自動授予shop.example.com；
? Real-Time Revocation Path：當shop.example.com NS記錄變更，新網DNS backend自動向CA推送deauthorization signal。

因此，這不是“開個泛域名就好”，而是一場需多方見證的信任移交。“None”即新網DNS Console中那個「Delegate Subzone Auth」工作流。
【四階傳承法：讓子域繼承父域的信任血脈】

面向集團型客戶，我們定義信任傳遞標準：

Declaration Phase：在example.com. zone添加shop.example.com. IN CAA 0 issuewild "ca.xinnet.com"；
Validation Cascade：CA簽發*.shop.example.com前，必須fetch parent CAA & verify signature chain；
Revocation Mirror：當shop.example.com NS切換至Cloudflare，新網DNS backend自動call CA revoke all certs under that domain；
Audit Trail Immutability：所有delegate actions write into blockchain ledger blockchain.xinnet.com/caa-log/#{txid}。

該機制已在海爾智家全球IoT平臺投產，“None”即dns.xinnet.com/subzone-trust-center。