
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1256">

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

</head>

<body>

<div>

<div>

<div style="font-family:Calibri,sans-serif; font-size:11pt">In this case, customer owns example.com and not example.clouapp.net. As I mentioned earlier, Azure owns the name and is not delegated to the tenant. I was hoping to join the call today, but it conflicts

 with another meeting that showed up last minute. I will continue using email. <br>

<br>

Sent from my Windows Phone</div>

</div>

<div dir="ltr">

<hr>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">From:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:gerv@mozilla.org">Gervase Markham</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Sent:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt">ı5/ı7/ı2015 4:03 AM</span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">To:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:ansaboor@microsoft.com">Anoosh Saboori</a>;

<a href="mailto:sleevi@google.com">Ryan Sleevi</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Cc:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:public@cabforum.org">public@cabforum.org</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Subject:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt">Re: [cabfpub] Domain validation</span><br>

<br>

</div>

</div>

<font size="2"><span style="font-size:10pt;">

<div class="PlainText">On 07/05/15 00:46, Anoosh Saboori wrote:<br>

> What you stated below partly is the main reason for us not supporting #6<br>

> . Another example is Azure tenant who is assigned “example.clouapp.net”.<br>

> While the tenant can pass the test in #6  by inserting nonce in<br>

> “example.cloudapp.net/.well-known/certificate”, they are not the real<br>

> owner for that domain name, Azure is.<br>

<br>

This issue is not specific to cloudapp.net, of course. The meta-issue<br>

is: if a 2LD owner delegates control of 3LDs to various 3rd parties, is<br>

it OK for those 3rd parties to get an SSL certificate for that subdomain?<br>

<br>

I'd say that it is. That's what delegation means. They shouldn't be able<br>

to get a cert for the 2LD of course, but the rules don't let them do that.<br>

<br>

Anoosh: what bad thing can happen if the person to whom Microsoft has<br>

allocated example.cloudapp.net gets a certificate for example.cloudapp.net?<br>

<br>

Gerv<br>

</div>

</span></font>

</body>

</html>