<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Consolas",serif;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle20
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'>Forwarding from questions list.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext'> questions-bounces@cabforum.org [mailto:questions-bounces@cabforum.org] <b>On Behalf Of </b>Jacob Hoffman-Andrews<br><b>Sent:</b> Friday, February 13, 2015 11:01 AM<br><b>To:</b> questions@cabforum.org<br><b>Subject:</b> Re: [cabfquest] [cabfpub] Domain Validation Revision<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><pre>Following up from a thread on cabfpub:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>On 02/12/2015 07:08 PM, Ryan Sleevi wrote:<o:p></o:p></pre><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>8 concerns me for a couple reasons, even though it's moving in the<o:p></o:p></pre><pre>right direction.<o:p></o:p></pre><pre>- You require HTTPS, but that seems overkill, when you only need to<o:p></o:p></pre><pre>perform a TLS handshake. That is, consider a mail server configured<o:p></o:p></pre><pre>for SMTP-S - it seems that would be a viable configuration<o:p></o:p></pre></blockquote><pre>Agreed. As a concrete example, the ACME spec under discussion at IETF<o:p></o:p></pre><pre>proposes a challenge type called "Domain Validation with Server Name<o:p></o:p></pre><pre>Indication," or DVSNI for short:<o:p></o:p></pre><pre><a href="http://www.ietf.org/id/draft-barnes-acme-01.txt">http://www.ietf.org/id/draft-barnes-acme-01.txt</a>.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>We believe that DVSNI allows us to offer a higher level of assurance<o:p></o:p></pre><pre>than item (6), "making an agreed-upon change to information found on an<o:p></o:p></pre><pre>online Web page," since some sites allow arbitrary file upload, either<o:p></o:p></pre><pre>by intent or by accident. We're planning to use it for the Let's Encrypt<o:p></o:p></pre><pre>CA for that reason, so we'd like to make sure that item (8) allows for<o:p></o:p></pre><pre>DVSNI.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>For example, here is a version of item (8) that we think would work:<o:p></o:p></pre><pre><o:p> </o:p></pre><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Having the Applicant demonstrate practical control over the FQDN by<o:p></o:p></pre><pre>providing a TLS service on a host found in DNS for the FQDN. The CA<o:p></o:p></pre><pre>SHALL initiate a TLS connection with that host and verify that the<o:p></o:p></pre><pre>response contains unique, unguessable information proposed by the CA, in<o:p></o:p></pre><pre>a well-specified format.<o:p></o:p></pre></blockquote></div></div></body></html>