<div dir="ltr">Reposting their reply (below)<br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 24, 2017 at 12:36 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>I believe this question is highlighting whether "operate" represents being the authoritative name servers versus practical demonstration of control. Alternatively, we might pose the question as "Does demonstration of control of _a_ record equivocate to demonstration of control of the CAA record", if I understand the question correctly.</div><div><br></div><div>My belief and support is that the intent of "operated by the CA or an Affiliate of the CA" was to match the terminology from RFC 7719, which would specifically mean the interpetation (b), and the answer to the hypothetical question is "No, demonstration of control of a record is not sufficient, demonstration of operation of the authoritative name servers is"</div><div><br></div><div>Is that consistent with the intent Gerv? If so, does that look like something you see as easy to correct? I'm wondering whether introducing RFC 7719 as the normative dependency might provide better clarity to this question. </div></div></blockquote><div><br></div><div>"""</div><div>But is that the right thing to do though? Meaning if I manage my DNS records through Example A’s DNS management portal (or whatever it is called), but set a CAA record that only allows Example B to issue certs to my domain (assume my website is hosted in AWS), can they still issue certs to my domain without checking the records? Sorry if I’m missing something obvious.</div><div>"""</div><div><br></div><div>My view is that Example CA (who is operating the DNS service), and who is running the authoritative responder (e.g. they are the DNS operator), can totally cause issuance through any number of means - such as manipulating the WHOIS, introducing/modifying the CAA record, etc.</div><div><br></div><div>That said, I recognize there's a difference between technically capable versus being appropriate, and I doubt that the applicant/subscriber could enter into a contractual relationship with Example CA's DNS operating arm (which might be an Affiliate) that prevents Example CA's CA arm from ignoring CAA. However, we also identified the "Microsoft" case (as it were; although similar for Google and Apple, operationally speaking), in which the subordinate CA certificate is operated by the same organizational entity managing the DNS, and it may make less sense to require checking.</div><div><br></div><div>Thoughts?</div><div><br></div><div>My own is I'd be willing to deal with the increased risk (that comes from using "Example CA"'s DNS services, which would allow them to potentially issue a certificate in contravention of my CAA record), so long as it could be clear as a domain holder that I'm accepting that risk. If I didn't want it, I'd just choose to operate my DNS from someone who is not a CA (assuming I could determine that).</div><div> </div></div></div></div>