
<div dir="ltr"><div>Jeremy,</div><div><br></div><div>This has been repeatedly asked on calls, and each time Google provides details about how it has prevented unauthorized issuance?</div><div><br></div><div>Can we accept CAA has worked, helped for those CAs that check, and move on?</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 24, 2016 at 8:40 AM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Has there been an issuance to a third party that CAA would have prevented?<br>

Since there's no way to ensure compliance with a hard-fail CAA requirement,<br>

will CAA do anything useful? We don't mind CAA as a validation check, but<br>

I'm curious if anyone knows of an issued cert that would have been rejected<br>

if CAA were fully implemented.<br>

<span class="im HOEnZb"><br>

-----Original Message-----<br>

From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Gervase<br>

Markham via Public<br>

</span><div class="HOEnZb"><div class="h5">Sent: Monday, October 24, 2016 5:38 AM<br>

To: Eneli Kirme <<a href="mailto:Eneli.Kirme@sk.ee">Eneli.Kirme@sk.ee</a>>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Continuing the discussion on CAA<br>

<br>

Hi Eneli,<br>

<br>

On 24/10/16 12:08, Eneli Kirme via Public wrote:<br>

> But consider this scenario: a hypothetical CoolCA approaching a DNS<br>

> service provider, be it an ISP, domain registrar or some kind of<br>

> hosting provider, with a proposal to include a CAA record pointing to<br>

> the CoolCA into their default configuration.<br>

<br>

I would expect the DNS service provider to refuse, because otherwise they'll<br>

have a lot of angry customers ringing them up, saying "my CA tells me I<br>

can't have a certificate, and it's your fault".<br>

<br>

However, to address this, would it be reasonable to add a clause in the<br>

CAA-related change which said something like: "CAs MUST NOT add (or cause or<br>

request to be added) CAA records to the DNS without the explicit permission<br>

of the domain owner."<br>

<br>

Gerv<br>

______________________________<wbr>_________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>

</div></div><br>______________________________<wbr>_________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>

<br></blockquote></div><br></div>