<div dir="ltr">Posting on behalf of <a href="mailto:mpalmer@hezmatt.org">mpalmer@hezmatt.org</a> . Note, please do not take this as an endorsement of the comments.<br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 24, 2017 at 3:08 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>My own is I'd be willing to deal with the increased risk (that comes from using "Example CA"'s DNS services, which would allow them to potentially issue a certificate in contravention of my CAA record), so long as it could be clear as a domain holder that I'm accepting that risk. If I didn't want it, I'd just choose to operate my DNS from someone who is not a CA (assuming I could determine that).</div></div></div></div></blockquote><div><br></div><div>I'd like to ask for consideration of what I'd call the "Cloudflare problem" --</div><div>providers who mandate the use of their DNS service in order to use other,</div><div>marginally-related services[1].  Were there an organisation which had a</div><div>"must delegate to us" policy which also operated a CA, they would, by this</div><div>suggestion that "DNS operator == full authoritah", have authority to issue</div><div>certificates for the domain.</div><div><br></div><div>While migrating away from (or deciding not to use) services which require</div><div>DNS delegation is, indeed, entirely possible, the bundling of other services</div><div>changes the migration calculus quite considerably.  Losing a number of other</div><div>useful, valuable services in order to maintain control over certificate</div><div>issuance is a lot harder to swallow than "just" migrating DNS.</div><div><br></div><div>My main concern, in the general case, is that a rule such as that proposed</div><div>would encourage more CA-affiliated services to put in place a "delegate</div><div>only" policy in order to allow an end-run around CAA checking.  I don't</div><div>think that serves the interests of any stakeholder in the WebPKI, other than</div><div>CAs.</div><div><br></div><div>- Matt</div><div><br></div><div>[1] For those who aren't aware, in order to use Cloudflare's DDoS protection</div><div>    and other security services, you *must* delegate your domain to their</div><div>    DNS servers (with one or two exceptions that aren't relevant to 99%+ of</div><div>    all potential users of their service).  No delegation -> no service. </div></div></div></div>