<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 28, 2016 at 9:57 AM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>With products like the Cavium CNN3560-NFBE-G supporting more than 30,000 RSA signatures per second when using a 2048-bit key, I'm confident  that the multiple DNS lookups required by CAA will be the long pole.</div></div></blockquote><div><br></div><div>And if I say I'm confident that it isn't, we're back to the same issue - discussing feelings rather than data.</div><div><br></div><div>I agree that CAA, as a new element into the issuance pipeline, presents challenges, but I'm not at all supportive of an argument that says all improvements must be at free cost. At the core, we're trying to determine what is a reasonable tradeoff for the benefits that a consistent application of CAA provides. We've heard suggestions of unquantified "too slow", without any contextualization of what is acceptable (beyond, presumably, the current status quo of no cost), or how that practically matters.</div><div><br></div><div>As an example of a past change, consider the requirement for wildcards to be checked against public suffices. The fact that you can create an entirely inefficient lookup of the PSL does not mean you can't have a nanosecond lookup of that. Yet we didn't see members discussing microbenchmarks of this, and the implication to wildcards - so it's clear, members have some element of data driving their concerns, such that the PSL didn't raise concerns, but this does. We need to have a discussion of that data, and the use cases - not abstract hypotheticals of maybe costs. </div></div><br></div></div>