<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 3, 2016 at 3:02 PM, Richard Barnes <span dir="ltr"><<a href="mailto:rbarnes@mozilla.com" target="_blank">rbarnes@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Hey Ryan,<br><br></div>I'm confused about where you're going here.<br><br>It seems like the property that we need to remedy the flaw that Peter exposed is that the server's response cannot be generated based on the request from the CA.  It seems to me that the right response is just to make that requirement explicitly.  As I think JC's text does, though perhaps it could be made clearer.<br><br></div>Do you agree with that approach, and we're just arguing about wording?  Or do you think the HTTP validation method needs to be even more prescriptive?</div></div></blockquote><div><br></div><div>Well, the wording is to make the HTTP validation method more prescriptive ;)</div><div><br></div><div>To be clear: We're discussing wording. Tim proposed some more restrictive changes, and J.C. raised the concern that ACME relies on the lax language. The question is fundamentally trying to find out what options we have to tweak wording or implementation - to try to close the gap so that everyone is happy.</div></div></div></div>