<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 24, 2017 at 1:40 PM, Doug Beattie <span dir="ltr"><<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_-5186869092329465199WordSection1">
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">monkey patching, that’s a new one for me.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">The context of the snip-it below was an example in the RFC and it was not clear if that was a MUST or SHOULD.  I think we need clear MUST statements on what CAA
 checking is and how it needs to work so CAs and auditors all get the same message.  It was also not clear what happens when CNAME or DNAME records are encountered.  If my description is flawed then please comment.<u></u><u></u></span></p>
<p class="MsoNormal"><br></p></div></div></blockquote><div><br></div><div><a href="https://tools.ietf.org/html/rfc6844#section-4">https://tools.ietf.org/html/rfc6844#section-4</a> is a normative requirement of RFC 6844. So it's already a MUST.</div><div><br></div><div>I suppose the question I have is what is the additional clarity you're trying to add?</div><div><br></div><div>For example, the addition of "If a CNAME or DNAME record is found, then the CAA check will start over using the returned value as the new input to the CAA check." is introducing ambiguity, because it's incompatible with the algorithm described - namely, the CAA check does not start over, because the CAA check would have already accounted for the CNAME/DNAME traversal.<br></div></div></div></div>