<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Ryan, this discussion is happening on the Public list, and members of the public were not at our meeting.  So please drop your quibbling, and just restate whatever
 evidence you have – on the Public list, so everyone can evaluate it – that CAA would have prevented any known misissuance of certificates to a fraudster not associated with the certificate applicant.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:sleevi@google.com]
<br>
<b>Sent:</b> Monday, October 24, 2016 1:29 PM<br>
<b>To:</b> Kirk Hall <Kirk.Hall@entrustdatacard.com><br>
<b>Cc:</b> Jeremy Rowley <jeremy.rowley@digicert.com>; public@cabforum.org<br>
<b>Subject:</b> Re: [cabfpub] Continuing the discussion on CAA<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Mon, Oct 24, 2016 at 12:09 PM, Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Yes, please provide the links to all – I certainly don’t remember any details from what you have said
 in the past, and others feel the same way.  I promise I will read the links carefully for the details you have provided. </span><o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Considering that you actively participated in a discussion about this, less than a week ago, and that we've previously discussed this on calls, you've really exhausted all good faith for participating in these discussions.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">But I have to say, Ryan, it’s not useful when you always say “I answered that before” instead of going
 ahead and answering it again – just humor us, please.</span><o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Kirk, it's not useful when you can engage in a discussion, and within days of it completing, ask the same question and be ignorant of the discussion you participated in.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Perhaps it would be better if you wait for the minutes to be posted, so you can remember what you asked, and how you were answered.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">You and others are asking a lot of CAs when you push us to hard stop on CAA, so you really owe it to
 all of us to be patient and try to persuade us your preferred course of action is, in fact, a good idea.</span><o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Well, as Gerv said, I think an alternative is for root programs to mandate this.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">We've been discussing this for years. You've continued to use this argument time and time again, and every time it's answered, in good faith, you then wait a few weeks, and ask it again. It's incredibly disrespectful - and suggests you
 either don't care about the response or don't care to engage in good faith.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I've been debating CAA with you for over two years - consider posts like <a href="https://cabforum.org/pipermail/public/2014-May/003291.html">https://cabforum.org/pipermail/public/2014-May/003291.html</a> or your strawmen like <a href="https://cabforum.org/wp-content/uploads/Current-State-of-CAA-Sep2014.pdf">https://cabforum.org/wp-content/uploads/Current-State-of-CAA-Sep2014.pdf</a>
 , or attempts at things like <a href="https://cabforum.org/pipermail/public/2014-September/003843.html">https://cabforum.org/pipermail/public/2014-September/003843.html</a> .<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">You've tried to ask variations of this question before - consider <a href="https://cabforum.org/2015/10/29/2015-10-29-minutes/">https://cabforum.org/2015/10/29/2015-10-29-minutes/</a> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">But since you're going to continue this line of inquiry, let me restate to you what was shared at the F2F:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">You asked, during the F2F, whether any CA's had been prevented of misissuance. When I attempted to respond, you got upset, feeling that I was interrupting you and asked to be allowed to finish your question. You then further re-iterated
 your desire to understand third-party issuance cases. I described to you two types of unauthorized issuances, to third-parties, that had been observed by members in the room.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">One example discussed was <a href="http://googleusercontent.com">
googleusercontent.com</a>, which allows third-parties to host content, but for which TLS termination is always handled by Google. In this case, users were able to obtain certificates from Let's Encrypt, because we lacked CAA records at the time, but allowed
 user content on some sub-domains for this domain.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I then pointed to Peter, and discussed that Amazon had encountered a nearly identical situation with Amazon AWS, which also provides TLS termination for the clients. Amazon lacked CAA records, and customers were able to obtain certificates
 from WoSign, using WoSign's file-based validation method.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">In the case of Google domains, we went and added CAA records to our properties, which has prevented unauthorized issuance. I was precise in my terminology here - unauthorized - because it's not authorized by the domain holder, even if it's
 valid according to the language of Section 3.2.2.4<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">During this discussion, I engaged with Bruce Morton, your colleague, to discuss how CAA is complementary to what is already afforded in the BRs, but due to a wording error, seen as nuance. That is, if you have a pre-existing relationship
 with a CA, you can define a set of authorized requestors, but you cannot do so unless and until the CA has already issued a certificate for your domain. This was seen, by members in the room, as 'unintentional' - that is, that the intent was to cover both
 cases. Bruce and I, with microphones, discussed the challenges that a CA would have processing such requests, and where CAA affords a technical solution to a problem that was incompletely solved via policy.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Later on in that day, during the same discussion, while you were also present, with Jeremy standing up with a microphone, with Peter having the microphone that offered feedback, and with me in the back with a microphone, we discussed how
 3.2.2.4's different means of authorizing requests provide different levels of assurances. This was during the discussion about whether the "domain admin" has the authorization to express such policy. After Alex Wright pointed out that the domain admin already
 has great capability to exceed the policy, Peter pointed out that not all authorization methods used DNS, and that DNS is not in a special position with respect to issuance. I disagreed with Peter, pointing out the case raised by Anoosh at Microsoft during
 Anoosh's time participating, with the previously-numbered method 6 of the validation WG proposal (the .well-known method). As you may recall, both Google and Microsoft expressed some concerns that the file-based validation offers less assurance of authorization
 than the other methods, and that even the e-mail or whois validation methods relied ultimately on the DNS. This then continued into a nuanced discussion about how domain holders may register domains, providing WHOIS information, without actually providing
 DNS information - as Peter described it, "parking" domains.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I highlight this entire conversation, which I have no issue recalling and hope it is minuted, because it was during this discussion I again raised the case of hosting providers, this time using the examples Anoosh provided with respect
 to Azure, and Microsoft's desire to be able to restrict file-based validation methods from being used for their domain.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I hope you consider this sufficient at humouring you, even if it's as flawed a question as "When did you stop beating your spouse?", in the hopes that we can move past this otherwise unproductive line of questioning, given that so few CAs
 respect CAA. It's irrelevant and unhelpful, because it's asking "How is CAA useful, when CAs keep trying to stall, ignore, or cripple it?" And the answer is - if it's not useful, it's because CAs keep trying to stall, ignore, or cripple it.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I'm totally happy to engage in the discussion of use cases, failure modes, and benefits, but not if within the span of days, conversations for which you were directly engaged in can be so conveniently forgotten and ignored, and thus repeated.
 That's a surefire way to ensure your contributions and questions are ignored in the future.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I would just point out that when you say “you are tired of getting calls” from CAs,</span><o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I would just point out that you're putting words in my mouth.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">that also implies that the current method of vetting a certificate request (contacting the alleged
 customer through a third party phone number, etc. to make sure the certificate request is authorized) is
<b>working</b>, and might not be made any safer by reference to a CAA record.</span><o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This is, of course, false, and has been addressed at such for over two years. I can find archives in both May and September of 2014 in which we discussed this, and Eric Mill specifically responded to this during the F2F. For the sake of
 humouring you, I will paraphrase Eric's point made, which is that CAA allows for an equitable treatment of all requests as high-value, rather than CA-defined policies that are inconsistent and opaque.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I described to you, using the example of a request GoDaddy received from a Google Ventures/Alphabet company, the challenges that a CA can face when escalating this, and the inconsistency that can arise, both for CAs and for the domain holders.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I appreciate your consideration of this topic, but I do not appreciate how you can actively engage in conversation, but then present it as innocently forgetting, especially not when you've been opposing CAA for over two years now, as the
 records show. It appears to be a stalling form, at this point, rather than honest engagement.<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>