<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:宋体;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@宋体";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin-top:0cm;
        margin-right:0cm;
        margin-bottom:8.0pt;
        margin-left:0cm;
        line-height:105%;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML 预设格式 Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.Default, li.Default, div.Default
        {mso-style-name:Default;
        margin:0cm;
        margin-bottom:.0001pt;
        text-autospace:none;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;
        color:black;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.HTMLChar
        {mso-style-name:"HTML 预设格式 Char";
        mso-style-priority:99;
        mso-style-link:"HTML 预设格式";
        font-family:Consolas;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span style='font-size:12.0pt;line-height:105%;color:#1F497D'>I think the ballot should include some sort of requirement that a Random Value, Request Token, or Test Certificate can only be used once by the CA and customer to validate one domain, and that a new Random Value, Request Token, or Test Certificate must be generated by the CA for the customer for each domain being validated, and each time a domain is validated.<o:p></o:p></span></p><div><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><span style='font-size:10.5pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><span style='color:#1F497D'>Best Regards,<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><span style='color:#1F497D'>Richard<o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:12.0pt;line-height:105%;color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><b>From:</b> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>kirk_hall@trendmicro.com<br><b>Sent:</b> Tuesday, November 10, 2015 9:56 AM<br><b>To:</b> CABFPub (public@cabforum.org) <public@cabforum.org><br><b>Subject:</b> [cabfpub] Thursday CABF call -- Discussion of Domain Validation Methods (BR 3.2.2.4)<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'>The Validation Working Group is trying to finish up the Ballot to change BR 3.2.2.4 on domain validation methods.  We’ve been at this for over six months, and have previously presented you with the attached draft Ballot dated September 10, 2015.  It is ready to go, except we need to consider the comments of Richard Barnes of Mozilla and Peter Bowen of Amazon (attached, and shown below).<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><i>[As a separate matter, we delayed further work on this Ballot until early November to wait for any IP disclosures requested by the Patent Assessment Group (PAG) committee had been received.  We will see what conclusions the PAG has drawn.]<o:p></o:p></i></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'>It will be useful to receive comments and feedback from the Forum Members on this Thursday’s call.  The Validation Working Group (VWG) can then discuss the comments next week, and try to finalize the Ballot.<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'>I am repeating the comments from both Richard and Peter here, with a little more context.  Please be ready to comment on these four matters so we can complete this Ballot.<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><u>Any other comments on the draft Ballot</u>?<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><b><u><span style='color:#002060'>Richard Barnes Comments<o:p></o:p></span></u></b></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><u><o:p><span style='text-decoration:none'> </span></o:p></u></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'>In September, Richard made the two proposals shown below, and they were discussed in a VWG meeting.  I remember there were criticisms of Richard’s proposals – but I don’t remember exactly what they were!  (I think the objection to the proposed change in method 6 was allowing any “well-known” path chosen by the CA in addition to the “well-known/validation” directory in the current language – allowing the CA to choose a different past perhaps defeated the purpose of choosing a single path that website owners would know about.)  Richard was going to modify and resubmit his proposals, but he has not done so to date.  (<u>Richard</u> – if possible, <u>please resubmit before Thursday</u>.)  Each proposal is keyed to a line or part in the attached pdf matrix of the ballot<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=Default style='margin-left:36.0pt'><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>Proposal 1: In <u>part L</u> <o:p></o:p></span></b></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>OLD: "by the Applicant requesting and then installing a Test Certificate issued by the CA" <o:p></o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>NEW: "by the Applicant requesting and then installing a Test Certificate issued by the CA, or installing a Test Certificate containing a Random Value or Request Token" <o:p></o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>9. Having the Applicant demonstrate control over the FQDN by the Applicant requesting and then installing a Test Certificate issued by the CA on the FQDN </span><b><u><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:red'>or installing a Test Certificate containing a Random Value or Request Token</span></u></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'> which is accessed and then validated via https by the CA over an Authorized Port. <o:p></o:p></span></p><p class=Default style='margin-left:108.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>This liberalization would cover the DVSNI proposal being considered in ACME, and seems to offer equivalent protection to the other option. (Either way the cert contains something specified by the CA.) <o:p></o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>Proposal 2: In <u>part H</u> <o:p></o:p></span></b></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>OLD: "under "/.well-known/validation" directory on an Authorized Domain Name" <o:p></o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>NEW: "under "/.well-known/validation" directory on an Authorized Domain Name, or any other path under .well-known registered by IANA for this purpose" <o:p></o:p></span></p><p class=Default style='margin-left:36.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>6. Having the Applicant demonstrate control over the requested FQDN by installing a Random Value (contained in the name of the file, the content of a file, on a web page in the form of a meta tag, or any other format as determined by the CA) under "/.well-known/validation" directory on an Authorized Domain Name, </span><b><u><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:red'>or any other path under .well-known registered by IANA for this purpose</span></u></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:red'> </span><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>that can be validated over an Authorized Port; or <o:p></o:p></span></p><p class=Default style='margin-left:108.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'>For automated systems like ACME, they're going to want a much more precise definition of the validation process than what's in this document, and they may want to use different .well-known paths to indicate different methods that are all compliant with this section. Requiring the IANA registration allows these differences to exist, but in a controlled way.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><b><u><span style='color:#002060'>Peter Bowen Comments</span></u></b><span style='color:#002060'> </span>(Peter did not submit specific new language)<o:p></o:p></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><b><o:p> </o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b>Proposal 3: In <u>part J</u> <o:p></o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b><o:p> </o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'>In Item J, it suggests that the random token is only valid for a FQDN validation.  I think DNS validation should be allowed for domain hierarchies in addition to specific FQDNs.  A domain registrant should be able to choose to approve all FQDNs under <a href="http://corp.example.com">corp.example.com</a> by adding a record for <a href="http://corp.example.com">corp.example.com</a>.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b><o:p> </o:p></b></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>[Current Ballot language]  <o:p></o:p></span></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>7. Having the Applicant demonstrate control over the requested FQDN by the Applicant making a change to information in a DNS record for an Authorization Domain Name where the change is to insert a Random Value or Request Token; or <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b><o:p> </o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b><o:p> </o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><b>Proposal 4: In <u>part K</u> <o:p></o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'>Conversely, in item K, using Authorization Domain seems inappropriate.  Just because I control the IP address of <a href="http://corp.example.com">corp.example.com</a> doesn't mean I have control <a href="http://payments.corp.example.com">payments.corp.example.com</a>.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:0cm;margin-left:36.0pt;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>[Current Ballot language]<o:p></o:p></span></p><p class=Default style='margin-left:72.0pt'><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>8. Having the Applicant demonstrate control over the requested FQDN by the CA confirming that the Applicant controls an IP address returned from a DNS lookup for A or AAAA records for the Authorization Domain Name in accordance with section 3.2.2.5; or <o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><o:p> </o:p></p><p class=MsoNormal>Let’s be ready to discuss on Thursday’s call.<o:p></o:p></p><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='background:white;padding:.75pt .75pt .75pt .75pt'><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='padding:.75pt .75pt .75pt .75pt'><pre><o:p> </o:p></pre><pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre><pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre><pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre><pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre><pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre><pre>telephone and delete the original message from your mail system.<o:p></o:p></pre></td></tr></table></td></tr></table><p class=MsoNormal style='margin-bottom:0cm;margin-bottom:.0001pt;line-height:normal'><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p></div></body></html>