<div dir="ltr"><div class="gmail_quote"><div class="gmail_attr">Hi Andrew,</div><div class="gmail_attr"><br></div><div class="gmail_attr">Thanks for a really thoughtful analysis here!<br></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">On Tue, Sep 17, 2024 at 11:13 AM Andrew Ayer via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Delegating DNS records using CNAME (e.g. with [3]) is<br>
better, but not as easy because it requires the subscriber to operate<br>
public-facing infrastructure.<br></blockquote><div><br></div><div>I had understood that SCWG's BRs and the issuance of web PKI certs was indeed intended to only be for internet-accessible infrastructure anyway. Is it really a problem that SCWG needs to solve if people are trying to piggyback off the web PKI for their internal systems, rather than manage their own PKI model? This could be yet another nudge for people to stop doing that, which IMO would be a positive side-effect and not a counter-argument.<br></div><div><br></div><div>Mike</div><div><br></div></div></div>