<div dir="ltr">Jeremy,<div><br></div><div>Perhaps it wasn't clear, I wasn't speaking of wildcard certificates, but wildcard DNS rules, in which all requests for a given subdomain return a preconfigured record type. While for TXT and CAA records this is quite uncommon, it's exceedingly common to have CNAME records.</div><div><br></div><div>That is, both <rnd>.<a href="http://example.com">example.com</a> and <a href="http://sleevi.example.com">sleevi.example.com</a> may both CNAME to <a href="http://example.com">example.com</a>, by virtue of of the host putting a rule of "*.<a href="http://example.com">example.com</a> 3600 CNAME <a href="http://example.com">example.com</a>"</div><div><br></div><div>I am attempting to assert that placing the <rnd> in the subdomain is insufficient proof of authorization, and is meaningfully and tangibly different than the proof of control demonstrated in 3.2.2.4.7.</div><div><br></div><div>As I read your wording, it suggests the following:</div><div>CA looks up <rnd>.<a href="http://example.com">example.com</a></div><div><rnd>.<a href="http://example.com">example.com</a> points to <a href="http://example.com">example.com</a></div><div>CA sees it previously issued a certificate for <a href="http://example.com">example.com</a> using one of the other methods</div><div>CA issues certificate for <rnd>.<a href="http://example.com">example.com</a></div><div><br></div><div>That concerns me.</div><div><br></div><div>Peter's rewording suggests the inverse:</div><div>CA looks up _<a href="http://certvalidation.example.com">certvalidation.example.com</a></div><div>_<a href="http://certvalidation.example.com">certvalidation.example.com</a> points (CNAMEs) to <rnd>.validation.[nameofca].com</div><div>CA issues certificate for <a href="http://example.com">example.com</a></div><div><br></div><div>This is much less concerning.</div><div><br></div><div>Could you help clarify which you intend, and for what names/purposes?</div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 2, 2016 at 2:52 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-6404224304106461886WordSection1"><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif">Wildcard domains are already allowed. We can verify Wildcard DNS because a CNAME for *.<a href="http://domain.com" target="_blank">domain.com</a> is pointing to a record previously verified. This verification method is permitted under the definition of Authorization Domain Name (where the FQDN returned by a CNAME lookup can be used to verify the requested FQDN). Although <rnd>.<a href="http://domain.com" target="_blank">domain.com</a> isn’t necessarily distinguishable from *.<a href="http://domain.com" target="_blank">domain.com</a>, the validation ends up being the same because either its considered an Authorized Domain Name (under the definition) or it was validated as a random value in this new method. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif">For example:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif">*.<a href="http://domain.com" target="_blank">domain.com</a> -> <a href="http://dcv.example.com" target="_blank">dcv.example.com</a> (validated under the Authorized Domain Name section)<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif"><rnd>.<a href="http://domain.com" target="_blank">domain.com</a> -><a href="http://validation.example.com" target="_blank">validation.example.com</a> (validated under this new section)<u></u><u></u></span></p><p class="MsoNormal"><a name="m_-6404224304106461886__MailEndCompose"><span style="font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></span></a></p><p class="MsoNormal"><span><span style="font-size:11pt;font-family:calibri,sans-serif">Because each is validated properly, tracking which exact section was used in the validation isn’t necessary.<u></u><u></u></span></span></p><p class="MsoNormal"><span><span style="font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="font-size:11pt;font-family:calibri,sans-serif">Jeremy<u></u><u></u></span></span></p><p class="MsoNormal"><span><span style="font-size:11pt;font-family:calibri,sans-serif"><u></u> <u></u></span></span></p><span></span><p class="MsoNormal"><b><span style="font-size:11pt;font-family:calibri,sans-serif">From:</span></b><span style="font-size:11pt;font-family:calibri,sans-serif"> Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>] <br><b>Sent:</b> Friday, September 2, 2016 3:28 PM<br><b>To:</b> Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>><br><b>Cc:</b> <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] CNAME-based validation<u></u><u></u></span></p><div><div class="gmail-h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><br></p></div></div></div></div></div></blockquote></div></div></div></div>