<div dir="ltr">Once again, forwarding replies on their behalf. I'm hopeful Gerv will comment as well<br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 24, 2017 at 3:08 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Reposting their reply (below)<br><div class="gmail_extra"><br><div class="gmail_quote"><span class="gmail-">On Fri, Feb 24, 2017 at 12:36 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>I believe this question is highlighting whether "operate" represents being the authoritative name servers versus practical demonstration of control. Alternatively, we might pose the question as "Does demonstration of control of _a_ record equivocate to demonstration of control of the CAA record", if I understand the question correctly.</div><div><br></div><div>My belief and support is that the intent of "operated by the CA or an Affiliate of the CA" was to match the terminology from RFC 7719, which would specifically mean the interpetation (b), and the answer to the hypothetical question is "No, demonstration of control of a record is not sufficient, demonstration of operation of the authoritative name servers is"</div><div><br></div><div>Is that consistent with the intent Gerv? If so, does that look like something you see as easy to correct? I'm wondering whether introducing RFC 7719 as the normative dependency might provide better clarity to this question. </div></div></blockquote><div><br></div><div>"""</div></span><span class="gmail-"><div>But is that the right thing to do though? Meaning if I manage my DNS records through Example A’s DNS management portal (or whatever it is called), but set a CAA record that only allows Example B to issue certs to my domain (assume my website is hosted in AWS), can they still issue certs to my domain without checking the records? Sorry if I’m missing something obvious.</div><div>"""</div><div><br></div></span><div>My view is that Example CA (who is operating the DNS service), and who is running the authoritative responder (e.g. they are the DNS operator), can totally cause issuance through any number of means - such as manipulating the WHOIS, introducing/modifying the CAA record, etc.</div></div></div></div></blockquote><div><br></div><div>"""</div><div>- I agree with the above that a DNS operator can cause issuance, but a honest CA+DNS operator wouldn’t do it (at least knowingly) and a rogue CA doesn’t really need control over the DNS to issue a bad/malicious cert. As I understand it, CAA wouldn’t stop a rogue CA from issuing a cert.  </div><div>"""</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>That said, I recognize there's a difference between technically capable versus being appropriate, and I doubt that the applicant/subscriber could enter into a contractual relationship with Example CA's DNS operating arm (which might be an Affiliate) that prevents Example CA's CA arm from ignoring CAA. However, we also identified the "Microsoft" case (as it were; although similar for Google and Apple, operationally speaking), in which the subordinate CA certificate is operated by the same organizational entity managing the DNS, and it may make less sense to require checking.</div><div><br></div><div>Thoughts?</div></div></div></div></blockquote><div><br></div><div>"""</div><div><div>- I believe the statement in question was introduced to address what you mentioned above; not having to check CAA record for domains that the CA (or its organization) owns/controls. Wouldn’t it be simpler if CAA check is made optional only in such a situations “where the CA or Affiliate owns or controls the domain” instead of introducing DNS operator into the mix. Or are there other CA+DNS service provider who are requesting that CAA check be made optional for them?</div></div><div>"""</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>My own is I'd be willing to deal with the increased risk (that comes from using "Example CA"'s DNS services, which would allow them to potentially issue a certificate in contravention of my CAA record), so long as it could be clear as a domain holder that I'm accepting that risk. If I didn't want it, I'd just choose to operate my DNS from someone who is not a CA (assuming I could determine that).</div></div></div></div></blockquote><div><br></div><div>"""</div><div>- Once again, I see this differently, as in, honest_Example CA wouldn’t do this and rogue_Example CA doesn’t need to manipulate CAA record to issue a certificate. Did I get that wrong? <br></div><div>"""</div></div></div></div>