<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Oct 29, 2016 at 12:59 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 28/10/16 17:49, Ryan Sleevi wrote:<br>
> On Fri, Oct 28, 2016 at 7:49 AM, Peter Bowen via Public<br>
</span><span class="">> <<a href="mailto:public@cabforum.org">public@cabforum.org</a> <mailto:<a href="mailto:public@cabforum.org">public@cabforum.org</a>>> wrote:<br>
><br>
>     I think CAs should track this so we can come back in a year and<br>
>     review how often allowing soft-fail had any impact.<br>
><br>
> We've been spinning our wheels on this point for several years. For four<br>
> years now, we've been suggesting CAs do just that. They haven't. The<br>
> closest we've been able to come is for CAs to document their policies on<br>
> CAA.<br>
<br>
</span>Just to be clear: presumably you are not against CAs documenting and<br>
reporting implementation experience, you are just against weakening CAA?<br>
<br>
I definitely think we should either require or strongly encourage CAs to<br>
document the actual problems CAA causes for them, if any, so we can get<br>
a better picture. Whether we exempt certain categories of issuance from<br>
CAA while we do that is a separate question.<br></blockquote><div><br></div><div>Right,</div><div><br></div><div>I'm suggesting that</div><div>1) We should not prematurely weaken CAA on the basis of unsubstantiated concerns (performance, coercion), given that we've been hearing these concerns for five years, CAs have had ample opportunity to explore them (which is why we had our previous ballot), and thus owe a higher level of confidence than "what if"</div><div>2) We should not overly complicate CAA on the basis of expected possibilities, given that CAs have had ample opportunity to explore if they're a concern, and at least owe to the Forum a more concrete discussion about use than "maybe this would be useful"</div><div><br></div><div>Given that, due to the nature of our IPR policy situation, the earliest possibility of a new ballot is sometime in January, I don't see any reason to continue circling the same arguments, versus, say, working with development teams to get actual experience. Thanks to Let's Encrypt, for example, we know it's possible to implement a reasonably efficient implementation, and we also know that, due to Let's Encrypt having implemented, we can also see more opportunities for specificity - or at least, concrete examples of risks (in this case, I'm referring to cached authorizations/cached CAA checks beyond the DNS TTL).</div><div><br></div><div>So Let's Encrypt has been helpful in contributing to the discussion, but there's no reason that other CAs can't be, or can't similarly bring forth reports of experiences, or for the public to bring forth reports of challenges. There's been ample opportunity to experiment and work on solutions based on actual experience, rather than abstract hypotheticals. </div></div><br></div></div>