
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 23, 2015 at 9:39 AM, <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a> <span dir="ltr"><<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">Our existing rule only allows .onion certs to be issued “</span><span style="font-size:11pt;font-family:Calibri,sans-serif;color:black;background:white">after (and only

 if) .onion is officially recognized by the IESG as a reserved TLD.”  </span><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">Here is what IETF did – the RFC makes it pretty clear how the .onion domain may be used.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="http://tools.ietf.org/html/rfc7686" target="_blank">http://tools.ietf.org/html/rfc7686</a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="http://www.iana.org/assignments/special-use-domain-names/special-use-domain-names.xhtml" target="_blank">http://www.iana.org/assignments/special-use-domain-names/special-use-domain-names.xhtml</a>

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">However, it is a “special-use” domain.  They also have “Policy Reserved Domains”<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="https://www.iana.org/domains/reserved" target="_blank">https://www.iana.org/domains/reserved</a>

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">I know at least one CA was of the opinion that it can no longer issue .onion certs.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif">Maybe we should add an amendment to a future uncontroversial ballot (unless someone objects) to clear this up.</span></p></div></div></blockquote><div><br></div><div>I'm not sure a ballot is necessary. This seems solely based on a misunderstanding of the role of various SDOs and how the IANA process works. This is no different than a member misunderstanding RFC 5280 - that's not something we generally ballot to 'explain' how RFC 5280 works, no more than we ballot to explain RFC 2119 language.</div><div><br></div><div>IANA reserved domains encompasses "Example Domains", "Test IDN top-level domains", "Policy-reserved domains", and "Other Special-Use Domains". These are all categories of reserved domains.</div><div><br></div><div>As you note, the IANA-managed registry is managed under the terms of RFC 6761 - which spells out somewhat unambiguously what it is:</div><div><br></div><div><a href="http://tools.ietf.org/html/rfc6761">http://tools.ietf.org/html/rfc6761</a></div><div>"This document describes what it means to say that a Domain Name (DNS name) is reserved for special use, when reserving such a name is appropriate, and the procedure for doing so.  It establishes an IANA registry for such domain names, and seeds it with entries for some of the already established special domain names."</div><div><br></div><div>If any such ballot is put forward, I think it would be extremely important, if not necessary, for the CA you allude to to step forward and explain the reasoning and source of confusion. Otherwise, this feels like dealing with an abstract hypothetical, and any changes - positive or negative - will merely be debated in the abstract, which would end up taking far longer than necessary.</div></div></div></div>