<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>I’m attaching Phillip’s original proposal for CAA and Jeremy’s suggestion for enhancement. Here’s my proposal.</div>
<div> </div>
<div> </div>
<div> </div>
<div>Add to Section 4 Definitions, new item:</div>
<div> </div>
<div><b>CAA</b>: From RFC 6844 (<a href="http:tools.ietf.org/html/rfc6844):">http:tools.ietf.org/html/rfc6844):</a> “The Certification Authority Authorization (CAA) DNS Resource Record allows a DNS domain name holder to specify the Certification Authorities
(CAs) authorized to issue certificates for that domain. Publication of CAA Resource Records allows a public Certification Authority to implement additional controls to reduce the risk of unintended certificate mis-issue.”</div>
<div> </div>
<div>Add to Section 7.1.2 Certificate Warranties, new item:</div>
<div> </div>
<div>        9. <b>CAA</b>: That, at the time of issuance, the CA (i) implemented a procedure for consideration of CAA records for each Domain Name(s) and IP address(es) listed in the Certificate’s subject field and subjectAltName extension; (ii) followed the
procedure when issuing the Certificate; and (iii) accurately described the procedure in the CA’s Certificate Policy and/or Certification Practice Statement. It is permissible (although not desirable) for the CA to ignore CAA records completely, as long as that
“procedure” is documented in the CA’s Certificate Policy and/or Certification Practice Statement. If the CA’s Certificate Policy and/or Certification Practice Statement is based on RFC 3647, the statement describing the CA’s CAA procedure SHOULD appear in Section
4.4.2. Certificate Application Processing.</div>
<div> </div>
<div>(I defer to Tom and Ryan S on that last sentence. You read many more CPs and CPSs than I do.</div>
<div> </div>
<div>-Rick</div>
<div> </div>
</font>
</body>
</html>