<div dir="ltr">On Thu, Jun 15, 2017 at 7:49 PM, y-iida--- via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello, public.<br><br>I'd like to make it clear the cases when CAA RR set is empty.<br><br><A> The first paragrapth of chapter 4 of RFC 6844 reads:<br>  If such a record set exists<br>and it means that the certificate request is consistent with<br>the empty CAA resource record set.<br><br><B> Above paragrapth does not reads ``a non-empty record set''<br>and last line of chapter 4 reads:<br>      Return Empty<br>and it does not mean return whatever you want, and section 5.2<br>of RFC 6844 reads:<br>  CAA authorizations are additive<br>and this means that the certificate request is not consistent<br>with the empty CAA resource record set and no CAs are allowed<br>to issue without applying an exception specified in the relevant<br>CP/CPS.<br>--<br>  iida<br>______________________________<wbr>_________________<br>Public mailing list<br><a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br><a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br></blockquote><div><br></div>There is a distinction between resource record sets and issuer domains. Section 4 specifies how to find the relevant resource record set (RRSet), which may be empty. Section 5.2 says that, if you do find a non-empty CAA RRSet, the issuer domain in that RRSet may be empty.<div><br></div><div>In other words:</div><div><br></div><div>Empty RRSet: issuance allowed</div><div>Empty issuer domain within a non-empty RRSet: no issuance allowed</div></div>