<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jan 31, 2014 at 1:31 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Comments inline.<br>
<div class="im"><br>
> -----Original Message-----<br>
> From: Gervase Markham [mailto:<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>]<br>
> Sent: Friday, January 31, 2014 2:12 AM<br>
> To: Rick Andrews; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Refinement of gTLD requirements<br>
><br>
> On 30/01/14 18:50, Rick Andrews wrote:<br>
> > I believe that CA’s cannot determine if the Subscriber is “either the<br>
> > Domain Name Registrant or can demonstrate control over the Domain<br>
> Name”<br>
> > until the domain has been delegated.<br>
><br>
> Is the information in the "contract signed" email not sufficient to<br>
> identify the company concerned? If it is, then in order to determine<br>
> that someone is the Domain Name Registrant, you have to ascertain they<br>
> work for that company.<br>
><br>
> If it's not, then we should get ICANN to add more info to those emails.<br>
<br>
</div>No, it's not a question of who to contact, but rather uncertainty about when the domain will be open for registration, and whether the certificate holder will have time to register the domain and prove ownership to the CA before the deadline passes.<br>

<div class="im"><br>
> >  1. Checking the page<br>
> >     _<a href="http://newgtlds.icann.org/en/program-status/delegated-strings_" target="_blank">http://newgtlds.icann.org/en/program-status/delegated-strings_</a><br>
> >     (updated within one day or two after the delegation happens)<br>
> >  2. Checking the page<br>
> >     _<a href="https://data.iana.org/TLD/tlds-alpha-by-domain.txt_(updated" target="_blank">https://data.iana.org/TLD/tlds-alpha-by-domain.txt_(updated</a><br>
> >     automatically by IANA)<br>
><br>
> There is also a mailing list, and a spreadsheet auto-populated from the<br>
> mailing list which Mozilla maintains.<br>
><br>
> > “Within 120 days after the delegation from the public DNS root for a<br>
> new<br>
> > gTLD<br>
><br>
> As Ryan says, the choice of "contracted" was intentional.<br>
<br>
</div>I was under the impression that some domains would open for registration and allow the certificate holder to buy the domain. In such cases, the certificate doesn't need to be revoked. We have customers who hope to do that. I'm trying to make that process more clear and straightforward for the certificate holder and the CA.<br>

<span class="HOEnZb"><font color="#888888"><br>
-Rick</font></span></blockquote><div><br></div><div>I would expect you to at least be re-issuing the certificate, since the original certificate's domain validation procedures clearly failed the requirements of 11.1.1 with respect to the "new" gTLD, and I would still expect the previous certificate to be revoked.</div>
<div><br></div><div>The important aspect is that the domain registries should be able to set their policies, and the only way to allow them the flexibility to evaluate the risk to their operations and make a policy decision on how to balance the risk to their potential registrants is by the contracted date.</div>
<div><br></div><div><br></div></div></div></div>