<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 17, 2017 at 1:34 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If the issue or issuewild records indicate that I am permitted to issue the cert, it seems excessive to reject because I can't parse the iodef record. As a permitted CA, I don't need to do anything with the iodef record.<br></blockquote><div><br></div><div>That's not correct. For example, imagine the issue indicates Symantec, but it requests EV only (via a Symantec-defined issuer-parameter), and you receive a request a DV. What do you do then?</div><div><br></div><div>Similarly, if the Forum introduces issuer-parameters regarding the use of 3.2.2.4 validity methods, what then?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Your intent is probably to catch the error and alert the domain owner, so that they can fix it in case a non-authorized CA tries to issue a cert for the domain. While I can see the advantage of that, I'm not sure that this action was intended by the RFC or Gerv's ballot.<br>
<br>
How do others interpret it?<br>
<br>
-Rick<br>
<span class=""><br>
From: Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com">sleevi@google.com</a>]<br>
</span>Sent: Friday, March 17, 2017 10:26 AM<br>
To: Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>><br>
Cc: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>>; Gervase Markham <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>><br>
<div class="HOEnZb"><div class="h5">Subject: Re: [cabfpub] Results on Ballot 187 - Make CAA Checking Mandatory<br>
<br>
Fail to issue.<br>
<br>
On Fri, Mar 17, 2017 at 1:25 PM, Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>> wrote:<br>
But what am I supposed to do if I can’t parse the syntax?<br>
<br>
From: Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com">sleevi@google.com</a>]<br>
Sent: Friday, March 17, 2017 10:22 AM<br>
To: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
Cc: Gervase Markham <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>>; Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>><br>
Subject: Re: [cabfpub] Results on Ballot 187 - Make CAA Checking Mandatory<br>
<br>
<br>
<br>
On Fri, Mar 17, 2017 at 1:18 PM, Rick Andrews via Public <<a href="mailto:public@cabforum.org">public@cabforum.org</a>> wrote:<br>
Gerv, I would suggest simply removing "iodef" from "CAs MUST process the issue, issuewild, and iodef property tags". To me, the word "process" means to take some kind of action, as we must do with issue and issuewild tags. From what others have said, if the iodef record isn't marked critical, I can ignore it, and if it is marked critical, I can ignore it as long as I recognize it as an iodef record. I wouldn't call that "processing" the record.<br>
<br>
That's not quite correct. If it's marked critical, you must still understand how to parse the syntax, and ensure it is something you actively understand, even if you do not report.<br>
<br>
</div></div></blockquote></div><br></div></div>