<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 12, 2015 at 8:08 PM, <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a> <span dir="ltr"><<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div link="#0563C1" vlink="#954F72" lang="EN-US">
<div>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<b>Question 2 – Domain Validation pre-ballot<u></u><u></u></b></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<u></u> <u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
The second open question for the current Domain Validation ballot also comes from Richard Barnes of Mozilla, and is as follows.<u></u><u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<u></u> <u></u></p>
<p style="margin-left:0.5in"><b><span style="font-size:11pt;font-family:"Calibri",sans-serif">Proposal 2: In
<u>line H</u> <u></u><u></u></span></b></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif">CURRENT DRAFT:
<u></u><u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif">“6. Having the Applicant demonstrate control over the requested FQDN by installing a Random Value (contained in the name of the file, the content of
 a file, on a web page in the form of a meta tag, or any other format as determined by the CA) under "/.well-known/validation" directory on an Authorized Domain Name, that can be validated over an Authorized Port; or”<u></u><u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif">Richard proposes to add the following language as shown: "*** or any other path under .well-known registered by IANA for this purpose"
<u></u><u></u></span></p>
<p style="margin-left:0.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p style="margin-left:1in"><span style="font-size:11pt;font-family:"Calibri",sans-serif">6. Having the Applicant demonstrate control over the requested FQDN by installing a Random Value (contained in the name of the file, the content of
 a file, on a web page in the form of a meta tag, or any other format as determined by the CA) under "/.well-known/validation" directory on an Authorized Domain Name,
</span><b><u><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:red">or any other path under .well-known registered by IANA for this purpose</span></u></b><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:red">
</span><span style="font-size:11pt;font-family:"Calibri",sans-serif">that can be validated over an Authorized Port; or
<u></u><u></u></span></p>
<p style="margin-left:1.5in"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
Richard’s reasoning: “For automated systems like ACME, they're going to want a much more precise definition of the validation process than what's in this document, and they may want to use different .well-known paths to indicate different methods that are all
 compliant with this section. Requiring the IANA registration allows these differences to exist, but in a controlled way.”<u></u><u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<u></u> <u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
On the call today, it was noted that only a single path "/.well-known/validation" directory on an Authorized Domain Name” was chosen intentionally – so that webmasters could be informed to lock down this path on their websites to avoid allowing a hacker to
 post a bogus credential (such as a bogus Random Value, etc.) and obtain a cert by practical demonstration for a domain they do not really own or control.  The sentiment on the call was against this change.  One comment was that if a different path was needed
 in the future, it could be discussed and added later by a separate ballot if justified.<u></u><u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<u></u> <u></u></p>
<p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal">
<b><u>Questions</u></b>:  The Validation Working is likely to reject this suggested change.  However, we would like to hear from anyone who things the suggested change is a good idea.</p></div></div></blockquote><div><br></div><div>I can actually live with this.  Eric Mill pointed out to me that you can distinguish between validation types within that directory, so there's enough flexibility without the liberalization.  So unless anyone else thinks there's a need to liberalize this requirement, consider the proposal withdrawn.<br><br></div><div>I would like to bike-shed the string a little bit.  The word "validation" is over-broad.  One could certainly imagine other "validation" things going under .well-known.  (POSH, an existing .well-known user, comes close <a href="http://www.iana.org/go/draft-ietf-xmpp-posh-06">http://www.iana.org/go/draft-ietf-xmpp-posh-06</a>)<br><br></div><div>What would people think about changing from "validation" to something like "pki-validation"?<br></div><div><br></div><div>--Richard<br></div><div><br><br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div link="#0563C1" vlink="#954F72" lang="EN-US"><div><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>


<table><tbody><tr><td bgcolor="#ffffff"><font color="#000000"><pre><table><tbody><tr><td><pre>TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential 
and may be subject to copyright or other intellectual property protection. 
If you are not the intended recipient, you are not authorized to use or 
disclose this information, and we request that you notify us by reply mail or
telephone and delete the original message from your mail system.
</pre></td></tr></tbody></table></pre></font></td></tr></tbody></table>
<br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br></div></div>