<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jul 19, 2016 at 10:51 AM, Jacob Hoffman-Andrews <span dir="ltr"><<a href="mailto:jsha@letsencrypt.org" target="_blank">jsha@letsencrypt.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Thanks for working on these! They're looking good.</div><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><b style="font-family:Calibri,sans-serif;font-size:14.6667px"><span style="font-size:12pt;font-family:"Times New Roman",serif">Authorized Port:</span></b><span style="font-size:12pt;font-family:"Times New Roman",serif"> One of the following ports: 80 (http), 443 (http), 115 (sftp), 25 (smtp), 22 (ssh).</span></blockquote><div><br></div></span><div>It seems like this list should also include 465 and 587 (smtp), 143 and 993 (imap), 110 and 995 (pop), and possibly 5269 (xmpp), though the last might be less appropriate since it is not generally reserved for privileged users.</div></div></div></div></blockquote><div><br></div><div>There's been a lot of discussion about this, and there have been arguments in favor and against the addition of new ports. Given the spate of at-hoc automated issuance systems and the security issues they've had recently, and given the difficulties for systems administrators and webmasters to be able to comprehensively protect such systems (an issue which would not exist if only domain-based validation were supported), I'm fairly opposed to widening this list. However, if there's an argument to be made about why each of these specific ports should be added, it would be useful to know.</div><div><br></div><div>There's naturally a tension that needs to be balanced - between the ease of obtaining a certificate and the difficulties in preventing unauthorized issuance. Both Microsoft and Google have continually expressed reservations about authorization methods other than DNS - such as port-based and file-based authorizations - as they can significantly expand a limited scope of authorization (such as a specific port) into the ability to intercept secure communications for an entire host.</div><div><br></div></div></div></div>