<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Thanks for working on these! They're looking good.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><b style="font-family:Calibri,sans-serif;font-size:14.6667px"><span style="font-size:12pt;font-family:"Times New Roman",serif">Authorized Port:</span></b><span style="font-size:12pt;font-family:"Times New Roman",serif"> One of the following ports: 80 (http), 443 (http), 115 (sftp), 25 (smtp), 22 (ssh).</span></blockquote><div><br></div><div>It seems like this list should also include 465 and 587 (smtp), 143 and 993 (imap), 110 and 995 (pop), and possibly 5269 (xmpp), though the last might be less appropriate since it is not generally reserved for privileged users.</div></div><div class="gmail_quote"><span style="font-size:12pt;font-family:"Times New Roman",serif"><br class=""></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><b><span style="font-size:12pt;font-family:"Times New Roman",serif">Authorization Domain Name:</span></b><span style="font-size:12pt;font-family:"Times New Roman",serif"> The Domain Name used to obtain authorization for certificate issuance for a given FQDN. The CA may use the FQDN returned from a DNS CNAME lookup as the FQDN for the purposes of domain validation. If the FQDN contains a wildcard character, then the CA MUST remove all wildcard labels from the left most portion of requested FQDN. The CA may prune zero or more labels from left to right until encountering a Base Domain Name and may use any one of the intermediate values for the purpose of domain validation.</span></blockquote><div><br></div><div>This is a little confusing to me. Is the implication that *.<a href="http://example.com">example.com</a> is an FQDN? That conflicts with my understanding of an FQDN. I believe an FQDN should be a Domain Name, which *.<a href="http://example.com">example.com</a> is not. Perhaps dNSName to refer to the field that winds up in the cert, and define Authorization Domain Name as an FQDN? </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><p class="MsoNormal"><b><span style="font-size:12pt;font-family:"Times New Roman",serif">Random Value:</span></b><span style="font-size:12pt;font-family:"Times New Roman",serif"> A value specified by a CA to the Applicant that exhibits at least 112 bits of entropy.</span></p></div></blockquote><div><br></div><div>Is a Random Value intended to be single-use like a Request Token without timestamp?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif"> <u></u><u></u></span></p><p class="MsoNormal"><b><span style="font-size:12pt;font-family:"Times New Roman",serif">3.2.2.4.2 Email, Fax, SMS, or Postal Mail to Domain Contact</span></b><br></p><p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif">Confirming the Applicant's control over the FQDN by sending a Random Value via email, fax, SMS, or postal mail and then receiving a confirming response utilizing the Random Value. The Random Value MUST be sent to an email address, fax/SMS number, or postal mail address identified as a Domain Contact. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif">Each email, fax, SMS, or postal mail MAY confirm control of multiple Authorization Domain Names. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif">The CA or Delegated Third Party MAY send the email, fax, SMS, or postal mail identified under this section to more than one recipient provided that every recipient is identified by the Domain Name Registrar as representing the Domain Name Registrant for every FQDN being verified using the email, fax, SMS, or postal mail. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:12pt;font-family:"Times New Roman",serif">The Random Value SHALL be unique in each email, fax, SMS, or postal mail.</span></p></div></blockquote><div><br></div><div>Is it worth clarifying that an email, or SMS CC'ed to multiple addresses counts as a single email?</div></div></div></div>