<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I do not know much about the state of subdomain auth deployment in the CA ecosystem unfortunately.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 18, 2024 at 2:09 PM Andrew Ayer <<a href="mailto:agwa@andrewayer.name">agwa@andrewayer.name</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Amir,<br>
<br>
On Wed, 18 Sep 2024 15:48:38 +0000<br>
Amir Omidi via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<br>
<br>
> There are two CAs (Let's Encrypt and Google Trust Services) with<br>
> DNS-ACCOUNT-01 (<br>
> <a href="https://datatracker.ietf.org/doc/draft-ietf-acme-scoped-dns-challenges/" rel="noreferrer" target="_blank">https://datatracker.ietf.org/doc/draft-ietf-acme-scoped-dns-challenges/</a>)<br>
> mostly ready to go. This draft is designed to solve the CNAME<br>
> delegation problem.<br>
<br>
It doesn't obviate the need to run an acme-dns server (or similar) but<br>
DNS-ACCOUNT-01 would indeed be a great help.  Note that RFC9444<br>
(subdomain auth) support is also needed as otherwise the subscriber<br>
has to add delegations for every hostname instead of just one per zone.<br>
Do you know what the state of CA adoption is there?<br>
<br>
In any case, I'll give this I-D a more thorough look and provide<br>
feedback in the ACME WG.<br>
<br>
Regards,<br>
Andrew<br>
</blockquote></div>