<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Oct 25, 2016 at 11:52 PM, Jeremy Rowley via Public <<a href="mailto:public@cabforum.org">public@cabforum.org</a>> wrote:<br>> Basically, I’d like a way for the domain owner to opt-out of CAA checks for performance reasons, which I think resolves the concerns you raised.<div><br></div><div>The performance problems may not be as bad as you think, with automation and parallelization. For instance, Let's Encrypt recently issued over a million certificates on a single day, with full CAA checking, and did not find CAA to be a performance bottleneck.</div><div><br></div><div>I realize that may seem at odds with my earlier statement, so I'll quote it here and add detail:</div><br>On Tue, Oct 18, 2016 at 11:26 AM, Jacob Hoffman-Andrews <<a href="mailto:jsha@letsencrypt.org">jsha@letsencrypt.org</a>> wrote:<br>> Let's Encrypt checks CAA at validation time rather than issuance time, because DNS checks are slow and unreliable. Doing the check at validation time allowed us to consolidate the external-facing parts of our process into a single component, and monitor the performance of that component with the knowledge that it is affected by factors outside our control.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Specifically, I mean that most of our internal RPCs complete in under a second, and are monitored for such. However, validation requests are allowed much longer because of variability in remote services. Also, it's normal for some fraction of validation requests to timeout because some fraction of our customers have misconfigured servers. That said, for a given customer who has a correctly configured DNS responder, DNS lookups, including CAA, are typically not a bad bottleneck.<br></div></div></div>