<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 24, 2016 at 7:37 AM, Gervase Markham via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Eneli,<br>
<span class=""><br>
On 24/10/16 12:08, Eneli Kirme via Public wrote:<br>
> But consider this scenario: a hypothetical CoolCA approaching a DNS<br>
> service provider, be it an ISP, domain registrar or some kind of hosting<br>
> provider, with a proposal to include a CAA record pointing to the CoolCA<br>
> into their default configuration.<br>
<br>
</span>I would expect the DNS service provider to refuse, because otherwise<br>
they'll have a lot of angry customers ringing them up, saying "my CA<br>
tells me I can't have a certificate, and it's your fault".<br>
<br>
However, to address this, would it be reasonable to add a clause in the<br>
CAA-related change which said something like: "CAs MUST NOT add (or<br>
cause or request to be added) CAA records to the DNS without the<br>
explicit permission of the domain owner."<br></blockquote><div><br></div><div>Would this _only_ apply to CAs which also control DNS? I don't think that addresses the scenario that Eneli described, where a DNS provider or ISP is persuaded (or fooled) by an external CA into adding a CAA record on their system for their customers.</div><div><br></div><div>-- Eric</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Gerv<br>
<div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div></div>