<div dir="ltr"><div>Here's maybe a helpful way to frame the discussion: if the BRs didn't permit WHOIS/domain-registry-website DCV right now, and someone proposed adding it, what would we need to see in the associated ballot to be comfortable that it didn't represent a weakening of the sans-WHOIS DCV model? Would we permit it only for gTLD based on IANA requiring that there at least be a server operated? Would we permit unencrypted RFC-3912 wire transactions at all, in any case?</div><div><br></div><div>The migration timeline will be a source of tension between "improve the security of the web" and "impose work on people who have been relying on the ease of WHOIS DCV", but it's not clear to me that this group even has consensus on what a desirable communicate-with-domain-registrant DCV would look like after a successful migration period.</div><div><br></div><div>Mike</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 18, 2024 at 8:38 AM Mike Shaver via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div class="gmail_attr">Hi Andrew,</div><div class="gmail_attr"><br></div><div class="gmail_attr">Thanks for a really thoughtful analysis here!<br></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">On Tue, Sep 17, 2024 at 11:13 AM Andrew Ayer via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Delegating DNS records using CNAME (e.g. with [3]) is<br>
better, but not as easy because it requires the subscriber to operate<br>
public-facing infrastructure.<br></blockquote><div><br></div><div>I had understood that SCWG's BRs and the issuance of web PKI certs was indeed intended to only be for internet-accessible infrastructure anyway. Is it really a problem that SCWG needs to solve if people are trying to piggyback off the web PKI for their internal systems, rather than manage their own PKI model? This could be yet another nudge for people to stop doing that, which IMO would be a positive side-effect and not a counter-argument.<br></div><div><br></div><div>Mike</div><div><br></div></div></div>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>