<div dir="ltr">Yeah, I think Neil's on the money.<div><br></div><div>I filed <a href="https://github.com/cabforum/servercert/issues/242">https://github.com/cabforum/servercert/issues/242</a> so we don't forget, and I've been tracking a cluster of .onion fixes ( <a href="https://github.com/cabforum/servercert/issues/191">https://github.com/cabforum/servercert/issues/191</a> , <a href="https://github.com/cabforum/servercert/issues/190">https://github.com/cabforum/servercert/issues/190</a> , <a href="https://github.com/cabforum/servercert/issues/240">https://github.com/cabforum/servercert/issues/240</a> ) to tackle after pandocification.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 26, 2021 at 12:26 PM Neil Dunbar via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div>
    <p>Wouldn't that be covered by</p>
    <blockquote>
      <p>"CAs are permitted to treat a record lookup failure as
        permission to issue if:</p>
      <blockquote>
        <p>• the failure is outside the CA’s infrastructure; and</p>
        <p>• the lookup has been retried at least once; and</p>
        <p>• the domain’s zone does not have a DNSSEC validation chain
          to the ICANN root."
        </p>
      </blockquote>
    </blockquote>
    <div>The DNS lookup would fail with
      NXDOMAIN, and the failure probably isn't in the CA's
      infrastructure, and if the DNS lookup failed, that would also
      indicate that no valid DNSSEC chain exists (at least, I don't see
      DS records for onion in the root zone). I guess to be 100% sure,
      you'd need to perform the lookup at least twice.<br>
    </div>
    <div><br>
    </div>
    <div>I guess that, since issuance
      requirements for onion is specifically carved out in Appendix B,
      it might make sense to carve out an explicit exception for that
      domain. Although if in a future revision of the technology, CAA
      policies could be expressed for onion addresses, I think we'd want
      to see those policies honoured, no?</div>
    <div><br>
    </div>
    <div>Just some thoughts,</div>
    <div><br>
    </div>
    <div>Neil<br>
    </div>
    <div> <br>
    </div>
    <div>On 26/01/2021 10:08, Dimitris
      Zacharopoulos (HARICA) via Servercert-wg wrote:<br>
    </div>
    <blockquote type="cite">Dear
      Members,
      <br>
      <br>
      I was doing a review of CAA requirements in the BRs. Unless I am
      missing something, section 3.2.2.8 seems to enforce the CAA check
      for all certificate types, including onion certificates. I believe
      there should be an exemption for onion certificates since they do
      not use the DNS that chains to the ICANN root.
      <br>
      <br>
      Do others feel that we need to clarify this further in the BRs
      either in section 3.2.2.8 or in Appendix B?
      <br>
      <br>
      <br>
      Thank you,
      <br>
      Dimitris.
      <br>
      _______________________________________________
      <br>
      Servercert-wg mailing list
      <br>
      <a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a>
      <br>
      <a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a>
      <br>
    </blockquote>
  </div>

_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>