<div dir="ltr">Jeremy,<div><br></div><div>You can extend the CAA syntax with issuer-specific properties. Do you think it makes sense to first experiment with this deployment, and then subsequently report back?</div><div><br></div><div>Namely, the syntax for the issue property tag is</div><div><br></div><div>issue <Issuer Domain Name> [; <name>=<value> ]*</div><div><br></div><div>The '<name>=<value>" portion allows you to define CA-specific properties without the registration of additional tags. For example, your 'customer ID' tag is clearly CA specific, while 'validation method' could be generic (if applied to the BRs) or could be a CA-specific construction (if more rigid than the BRs)</div><div><br></div><div>For example, if DigiCert wanted, it could</div><div><br></div><div>issue <a href="http://digicert.com">digicert.com</a>;cid=1234;method=1.2.3.4</div><div><br></div><div>This syntax is expanded upon in Section 5.2, which includes the following:</div><div><div>   An issuer MAY choose to specify issuer-parameters that further</div><div>   constrain the issue of certificates by that issuer, for example,</div><div>   specifying that certificates are to be subject to specific validation</div><div>   polices, billed to certain accounts, or issued under specific trust</div><div>   anchors.</div><div><br></div><div>   The semantics of issuer-parameters are determined by the issuer</div><div>   alone.</div></div><div><br></div><div><br></div><div>Does that help?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 15, 2017 at 2:45 PM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-5672535699330804399WordSection1"><p class="MsoNormal">Although CAA significantly narrows the scope of issuers, a tag identifying the customer/account where issuance permitted would significantly reduce spam domain control emails. Despite CAA limiting issuance of a domain to DigiCert, we may still have a dozen entities trying to request the same domain. In fact, I suspect the number of requested bad domains will increase on our side if a CAA record is present. Although we have methods to control spam validation emails, a bad actor could create accounts and annoy customers hoping the domain is inadvertently approved. To limit this, I’d like to create a CAA tag that is customerID. Something like: <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">CAA 0 register “customer ID=[ID provided by CA]”<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">The requirement in the RFC for creating tags is to register the tag with IANA. I thought I’d float the idea here first though. If there’s interest, we could combine it with a validation method restriction<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">CAA 0 register “customer ID=[ID provided by CA] validationMethod=[Validation Method OID]”<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Jeremy<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p></font></span></div></div><br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br></div>