
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 30, 2014 at 10:50 AM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank" class="cremed">Rick_Andrews@symantec.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div>

<font face="Calibri, sans-serif">

<div>Section 11.1.4 of the Baseline Requirements says “Within 120 days after the publication of a contract for a new gTLD is published on [<a href="http://www.icann.org" target="_blank" class="cremed">www.icann.org</a>], CAs MUST revoke each Certificate containing a Domain Name that includes

the new gTLD unless the Subscriber is either the Domain Name Registrant or can demonstrate control over the Domain Name.”</div>

<div> </div>

<div>We’ve been encountering several problems with this:</div>

<ol style="margin-top:0pt;margin-bottom:0pt;margin-left:36pt">

<li>The main web page at <a href="http://www.icann.org" target="_blank" class="cremed"><font color="#0000FF"><u>www.icann.org</u></font></a> doesn’t list the publication of new contracts. It contains a link to “See which strings have been delegated”, which takes you to a Delegated Strings

page at <a href="http://newgtlds.icann.org/en/program-status/delegated-strings" target="_blank" class="cremed"><font color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a>. That’s not the same as publication of new contracts.</li>

<li>ICANN has a method for notifying everyone of new contract signings (see <a href="https://mm.icann.org/mailman/listinfo/gtldnotification" target="_blank" class="cremed"><font color="#0000FF"><u>https://mm.icann.org/mailman/listinfo/gtldnotification</u></font></a>), but we’re finding that

there is a time lag between the time the contract is signed (and the email is sent) and the time that the domain is delegated from the public DNS root. I checked with Francisco Arias from ICANN, who confirmed that “(delegation) depends in a number of factors

and wouldn't happen until, at least, a few weeks after the contract is signed, in the best case scenario.”</li></ol>

<div> </div>

<div>I believe that CA’s cannot determine if the Subscriber is “either the Domain Name Registrant or can demonstrate control over the Domain Name” until the domain has been delegated.</div>

<div> </div>

<div>Francisco also confirmed that there are a few ways to learn about the delegation of a new gTLD:</div>

<ol type="a" style="margin-top:0pt;margin-bottom:0pt;margin-left:36pt">

<li>Checking the page <a href="http://newgtlds.icann.org/en/program-status/delegated-strings" target="_blank" class="cremed"><font face="Calibri, sans-serif" color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a> (updated within one day or two after

the delegation happens)</li><li>Checking the page <a href="https://data.iana.org/TLD/tlds-alpha-by-domain.txt" target="_blank" class="cremed"><font face="Calibri, sans-serif" color="#0000FF"><u>https://data.iana.org/TLD/tlds-alpha-by-domain.txt</u></font></a><font face="Calibri, sans-serif"> (updated automatically

by IANA)</font></li></ol>

<div> </div>

<div>I’m thinking of creating a ballot to update Section 11.1.4 to say something like:</div>

<div> </div>

<div>“Within 120 days after the delegation from the public DNS root for a new gTLD (as indicated by either one of the two URLs below), CAs MUST revoke each Certificate containing a Domain Name that includes the new gTLD unless the Subscriber is either the Domain

Name Registrant or can demonstrate control over the Domain Name.</div>

<div style="text-indent:36pt"><a href="http://newgtlds.icann.org/en/program-status/delegated-strings" target="_blank" class="cremed"><font color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a></div>


<div style="text-indent:36pt"><a href="https://data.iana.org/TLD/tlds-alpha-by-domain.txt" target="_blank" class="cremed"><font color="#0000FF"><u>https://data.iana.org/TLD/tlds-alpha-by-domain.txt</u></font></a>”</div>

<div> </div>

<div>I welcome your comments.</div><span class="HOEnZb"><font color="#888888">

<div> </div>

<div>-Rick</div>

<div> </div></font></span></font></div></blockquote><div><br></div><div>The choice of "contracted" versus "delegated" was intentional, as a way to mitigate the security risks highlighted by the SSAC.</div>

<div><br></div><div>The choice of 120 days from "contracted" allows registries for sensitive domains to *not delegate / not allow registrations* until 120 days have passed, and all "intranet" certificates have been revoked. That is, the registry can make its own decision to *require* that all intranet certificates have been revoked before they allow registration. Otherwise, they run the risk of allowing registrations for domains to third-parties that may be intercepted by "malicious" parties who previously obtained intranet certificates.</div>

<div><br></div><div>As such, I would oppose changing the language from contracted to delegated, as it provides an important security control for registries to make, independent of CAs, and the change proposed would create an up-to 120-day window of risk for *all* registries, dependent on CA.</div>

</div></div></div>