
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 29, 2014 at 2:02 PM, Ben Wilson <span dir="ltr"><<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Picking up where we left off .. attached is the redlined version that I<br>

think is closest to where we were on this issue:<br>

<br>

1.  In Section 4 of the Baseline Requirements, add a definition for CAA<br>

Record as follows:<br>

<br>

CAA Record: The Certification Authority Authorization (CAA) DNS Resource<br>

Record of RFC 6844<br>

(http:<a href="http://tools.ietf.org/html/rfc6844" target="_blank">tools.ietf.org/html/rfc6844</a>) that allows a DNS domain name holder to<br>

specify the Certification Authorities<br>

(CAs) authorized to issue certificates for that domain. Publication of a CAA<br>

Resource Record allows public<br>

Certification Authorities to implement additional controls to reduce the<br>

<span class="">risk of unintended certificate mis-issue.<br></span></blockquote><div><br></div><div>Reads like you're saying CA's publishing CAA records benefits them</div><div><br></div><div>"Publication of a CAA Resource Record allows Domain Name Registrant to request that Certification Authorities implement additional controls to reduce the risk of unintended certificate mis-issue"</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">

<br>

</span>We might want to abbreviate this definition a bit.<br>

<br>

2.  In Section 8.2.2 (instead of editing warranties in section 7.1.2 or<br>

verification practices in section 11, as some have suggested) add the<br>

following to the end of the paragraph on Disclosure:<br>

<span class=""><br>

Effective as of [insert date that is six months from Ballot 125 adoption],<br>

</span>section 4.2 of a CA's Certificate Policy and/or Certification Practice<br>

Statement (section 4.1 for CA’s still conforming to RFC 2527) shall<br>

disclose: (1) whether the CA reviews CAA Records, and if so, (2) the CA’s<br>

policy or practice on processing CAA Records and comparing them with<br>

proposed Domain Names for the Common Name field or Subject Alternative Name<br>

fields of certificates applications, and (3) any actions taken as result of<br>

such comparison.<br>

<br>

Any comments or suggestions are welcome.<br></blockquote><div><br></div><div>(2) the CA's policy or practice on processing CAA Records for each Fully-Qualified Domain Name listed in a certificate, and (3) any actions taken as a result of such a comparison.</div><div><br></div><div>The goal of word-smithing (2) is to match the language in 11.1.1, which is better than trying to enumerate 9.2.1 / 9.2.2 (9.2.2 already has a MUST that it must have appeared in 9.2.1, so this is redundant anyways)</div><div><br></div><div>Of course, you could just reference 9.2.1 directly (e.g. drop the common name requirement), since any value in 9.2.2 is required to be in 9.2.1 as well.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span class="im HOEnZb"><br>

-----Original Message-----<br>

From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On<br>

</span><div class="HOEnZb"><div class="h5">Behalf Of Sigbjørn Vik<br>

Sent: Tuesday, July 22, 2014 12:47 AM<br>

To: Rick Andrews; Geoff Keating; Stephen Davidson<br>

Cc: cabfpub<br>

Subject: Re: [cabfpub] Pre-Ballot 125 - CAA Records<br>

<br>

On 21-Jul-14 20:11, Rick Andrews wrote:<br>

> Siggy, how does the addition of a CAA record make DoS or DNS amplification<br>

attacks more problematic?<br>

<br>

I am no DNS expert, merely relaying comments from our sysadmin. If people<br>

with more knowledge in the field conclude that this is not an issue, that is<br>

fine with me, but it should be considered.<br>

<br>

> -----Original Message-----<br>

> From: Sigbjørn Vik [mailto:<a href="mailto:sigbjorn@opera.com">sigbjorn@opera.com</a>]<br>

> Sent: Monday, July 21, 2014 12:21 AM<br>

> To: Rick Andrews; Geoff Keating; Stephen Davidson<br>

> Cc: cabfpub<br>

> Subject: Re: [cabfpub] Pre-Ballot 125 - CAA Records<br>

><br>

> On 17-Jul-14 23:51, Rick Andrews wrote:> Siggy,<br>

>><br>

>> There are a number of Security Considerations in Section 6 of the CAA<br>

>> RFC (_<a href="http://tools.ietf.org/html/rfc6844#page-13_" target="_blank">http://tools.ietf.org/html/rfc6844#page-13_</a>) which detail<br>

>> possible abuse.<br>

><br>

> I don't see DoS or DNS amplification listed there.<br>

><br>

> --<br>

> Sigbjørn Vik<br>

> Opera Software<br>

><br>

<br>

<br>

--<br>

Sigbjørn Vik<br>

Opera Software<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

</div></div></blockquote></div><br></div></div>