<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 25, 2016 at 4:26 PM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Why not change how CAA so it works? Make it a base-domain check rather than a<br>
hierarchy. Or have the base domain list all of the approved CAs? I realize<br>
this will require a bis, but perhaps if the CAA record contained a "master<br>
list" with a limit on who can approve at the base domain then that would work.<br>
I was thinking of a system where you could specify the labelset property tag<br>
applicable to the permission:<br>
<br>
CAA 0 lbl=0 iodef "<a href="http://iodef.example.com/" rel="noreferrer" target="_blank">http://iodef.example.com/</a>"<br>
<br>
Where lbl is optional and defines the scope of the permission. This does put<br>
the burden on the base domain holder to specify the acceptable root CAs, but<br>
that burden is essentially already there with the permitted validation<br>
processes.<br></blockquote><div><br></div><div>The choice of how CAA was designed was to reflect how DNS works, and the DNS hierarchy. As proposed, this would allow, for example, the operators of .com, .cn, or .ru to restrict which CAs can be used within their countries - which, while perhaps possible today, is certainly not an intended use case for CAA. Unless, of course, you're suggesting it requires multiple labels - but now you're into the problem of determining scope of authority, which is an unsolved problem, if you're not explicitly working from the top down.</div><div><br></div><div>I'm not sure about your proposed syntax and how it maps into how CAA is defined, but that sounds like an even more substantive update that would necessitate fully replacing/obsoleting the existing CAA record.</div></div></div></div>