<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p><font face="Calibri">Andrew,<br>
      </font></p>
    <p><font face="Calibri">I was not referring to any WHOIS server, but
        rather to the information about domain "owners" that a registrar
        is supposed to collect and keep.</font></p>
    <p><font face="Calibri">So you believe that if a CA does the
        following, the domain contact email they can (sometimes) get is
        <i>unreliable</i>?<br>
      </font></p>
    <p><font face="Calibri">1) Consult the list of accredited domain
        registrars on the IANA website
        (<a class="moz-txt-link-freetext" href="https://www.icann.org/en/accredited-registrars">https://www.icann.org/en/accredited-registrars</a>), thus finding
        confirmation of one particular registrar's website the CA was
        looking for.<br>
        2) Access the website found in point 1 above and query the
        information available on a certain domain.<br>
        3) At this point, sometimes (rarely) obtain, among other
        information, also the email address of a domain contact.<br>
      </font></p>
    <p><font face="Calibri">Note that here I'm not talking about the
        WHOIS protocol nor WHOIS servers, but about the information that
        the domain registrar has the duty to collect and store (not
        necessarily publish) about the subject who registered a domain.<br>
      </font></p>
    <p><font face="Calibri">Regards,</font></p>
    <p><font face="Calibri">Adriano</font></p>
    <p><font face="Calibri"><br>
      </font></p>
    <div class="moz-cite-prefix">Il 17/09/2024 17:13, Andrew Ayer ha
      scritto:<br>
    </div>
    <blockquote type="cite"
      cite="mid:20240917111341.cdf23a1edda37196860e4a91@andrewayer.name">
      <pre wrap="" class="moz-quote-pre">[NOTICE: Pay attention - external email - Sender is <a class="moz-txt-link-abbreviated" href="mailto:agwa@andrewayer.name">agwa@andrewayer.name</a> ] 





On Tue, 17 Sep 2024 07:21:28 +0000
Adriano Santoni via Servercert-wg <a class="moz-txt-link-rfc2396E" href="mailto:servercert-wg@cabforum.org"><servercert-wg@cabforum.org></a> wrote:

</pre>
      <blockquote type="cite">
        <pre wrap="" class="moz-quote-pre">I believe that the /interactive 
/query of the domain registrar, directly on its website, can be 
considered reliable to the extent that the CA is confident that it is in 
fact consulting the "right" website.
</pre>
      </blockquote>
      <pre wrap="" class="moz-quote-pre">
CAs were not consulting the right WHOIS server, despite a database of
correct WHOIS servers existing (at least for gTLDs).  How would the problem
be better when it comes to finding the "right" website?

The gTLD registry agreement requires gTLD operators to update the IANA
Rootzone Database when their WHOIS server changes; I don't see a
similar requirement for keeping a database of website URLs up-to-date.

Regards,
Andrew
</pre>
    </blockquote>
  </body>
</html>