<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 24, 2017 at 12:03 PM, Doug Beattie via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Gerv,<br>
<br>
I’d like to propose a more detailed ballot for making CAA mandatory.  I worked on this with a couple of the CAs in CA Security Council and there is general consensus that we can support this ballot.  The intent is to be as clear as possible because CAs will be audited against this - let's not leave much room for interpretation (RFC 6844 was not precise in several areas).<br>
<br>
Key changes from your version:<br>
1) Added this as an exception: The CAA check failed but was subsequently approved by an Enterprise RA or Certificate Approver with knowledge that the CAA check failed.<br>
<br>
2) Increased cache time to 12 hours from 1 hour when a CAA record is found<br>
<br>
3) Specified a cache time of 24 hours when no CAA record was found<br>
<br>
4) Update the exemption for CAs being the DNS provider<br></blockquote><div><br></div><div>Unfortunately, it doesn't seem you've really explained why you've made these changes, nor how they improve security. Your opening suggests it's because of clarity, but none of these seem to bring clarity - they only seem to make it significantly weaker in practice.</div><div><br></div><div>Can you share the specific motivations for making these changes, so that the public can be informed why CAs want to be more lax about Internet security? </div></div><br></div></div>