<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>Section 11.1.4 of the Baseline Requirements says “Within 120 days after the publication of a contract for a new gTLD is published on [<a href="http://www.icann.org">www.icann.org</a>], CAs MUST revoke each Certificate containing a Domain Name that includes
the new gTLD unless the Subscriber is either the Domain Name Registrant or can demonstrate control over the Domain Name.”</div>
<div> </div>
<div>We’ve been encountering several problems with this:</div>
<ol style="margin-top: 0pt; margin-bottom: 0pt; margin-left: 36pt; ">
<li>The main web page at <a href="http://www.icann.org"><font color="#0000FF"><u>www.icann.org</u></font></a> doesn’t list the publication of new contracts. It contains a link to “See which strings have been delegated”, which takes you to a Delegated Strings
page at <a href="http://newgtlds.icann.org/en/program-status/delegated-strings"><font color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a>. That’s not the same as publication of new contracts.</li><li>ICANN has a method for notifying everyone of new contract signings (see <a href="https://mm.icann.org/mailman/listinfo/gtldnotification"><font color="#0000FF"><u>https://mm.icann.org/mailman/listinfo/gtldnotification</u></font></a>), but we’re finding that
there is a time lag between the time the contract is signed (and the email is sent) and the time that the domain is delegated from the public DNS root. I checked with Francisco Arias from ICANN, who confirmed that “(delegation) depends in a number of factors
and wouldn't happen until, at least, a few weeks after the contract is signed, in the best case scenario.”</li></ol>
<div> </div>
<div>I believe that CA’s cannot determine if the Subscriber is “either the Domain Name Registrant or can demonstrate control over the Domain Name” until the domain has been delegated.</div>
<div> </div>
<div>Francisco also confirmed that there are a few ways to learn about the delegation of a new gTLD:</div>
<ol type="a" style="margin-top: 0pt; margin-bottom: 0pt; margin-left: 36pt; ">
<li>Checking the page <a href="http://newgtlds.icann.org/en/program-status/delegated-strings"><font face="Calibri, sans-serif" color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a> (updated within one day or two after
the delegation happens)</li><li>Checking the page <a href="https://data.iana.org/TLD/tlds-alpha-by-domain.txt"><font face="Calibri, sans-serif" color="#0000FF"><u>https://data.iana.org/TLD/tlds-alpha-by-domain.txt</u></font></a><font face="Calibri, sans-serif"> (updated automatically
by IANA)</font></li></ol>
<div> </div>
<div>I’m thinking of creating a ballot to update Section 11.1.4 to say something like:</div>
<div> </div>
<div>“Within 120 days after the delegation from the public DNS root for a new gTLD (as indicated by either one of the two URLs below), CAs MUST revoke each Certificate containing a Domain Name that includes the new gTLD unless the Subscriber is either the Domain
Name Registrant or can demonstrate control over the Domain Name.</div>
<div style="text-indent: 36pt; "><a href="http://newgtlds.icann.org/en/program-status/delegated-strings"><font color="#0000FF"><u>http://newgtlds.icann.org/en/program-status/delegated-strings</u></font></a></div>
<div style="text-indent: 36pt; "><a href="https://data.iana.org/TLD/tlds-alpha-by-domain.txt"><font color="#0000FF"><u>https://data.iana.org/TLD/tlds-alpha-by-domain.txt</u></font></a>”</div>
<div> </div>
<div>I welcome your comments.</div>
<div> </div>
<div>-Rick</div>
<div> </div>
</font>
</body>
</html>