<div dir="ltr">Thanks for writing this up, Gerv. For the most part, I think this is a really good ballot.<div><br><div>> <span style="font-size:12.8px">As part of the issuance process, after all other validation has been completed. The CA must check for a CAA record</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">This is somewhat over-determined. I think all we care about is that the CAA check happens withing time X before issuance, not the order of the check relative to other validation. For instance, CAs may choose to do the CAA check concurrently with other validation if they expect to issue within the time limit.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Editorially: There's a full stop here where there should be a comma.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">> </span><span style="font-size:12.8px">for all domains in the certificate</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Editorially: I think this should say "for each dNSName in the subjectAltName extension of the certificate to be issued."</span></div><div><span style="font-size:12.8px"><br></span></div><div><div><span style="font-size:12.8px">> the domain does not use DNSSEC.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">This is surprisingly difficult to check. If the CA is operating an off-the-shelf recursive resolver configured to validate DNSSEC, that resolver will return SERVFAIL for invalid DNSSEC records. A SERVFAIL response can also mean either a failure inside the infrastructure or outside. I think if we want to include this exception for lookup failure, we'll need to be more specific about ways to implement it, or it will certainly be implemented incorrectly.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">> If the CA issues, they must do so within 10 </span><span style="font-size:12.8px">minutes of the check passing.</span><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Should we distinguish precert issuance here? If not, we could wind up with the strange situation of doing a CAA check, signing a precert, finding that it takes 10+ minutes to submit to enough CT logs, then being required to re-check CAA before final issuance. This may not seem like a big burden, but it's possible for the CAA results to change in that time.</span></div></div></div><div><span style="font-size:12.8px"><br></span></div></div>