<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">There are two CAs (Let's Encrypt and Google Trust Services) with DNS-ACCOUNT-01 (<a href="https://datatracker.ietf.org/doc/draft-ietf-acme-scoped-dns-challenges/">https://datatracker.ietf.org/doc/draft-ietf-acme-scoped-dns-challenges/</a>) mostly ready to go. This draft is designed to solve the CNAME delegation problem.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Maybe if there's interest for this, we can get more folks to look at this draft so we can finalize this? For what it's worth, I'm planning on removing the DNS-02 idea from that draft entirely.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Note that of course the timelines of this draft being "ready" is at least a year away.<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Cheers</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 18, 2024 at 11:44 AM Andrew Ayer via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Tobias,<br>
<br>
On Wed, 18 Sep 2024 14:51:52 +0000<br>
"Tobias S. Josefowitz via Servercert-wg" <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>
wrote:<br>
<br>
> Hi Andrew,<br>
> <br>
> On Tue, 17 Sep 2024, Andrew Ayer via Servercert-wg wrote:<br>
> <br>
> > Regrettably, parsing emails sent to a Domain Contact is often the<br>
> > easiest way to implement automated validation for a large number of<br>
> > domains, since it allows delegation to a single central point, using<br>
> > configuration that is often already in place (WHOIS record contact<br>
> > information). Delegating DNS records using CNAME (e.g. with [3]) is<br>
> <br>
> The use case you bring up here is however problematic. In this<br>
> validation scenario, how would the automation ensure that the<br>
> certificate request subject to approval by e.g. the link contained in<br>
> the email is indeed the one that was requested?<br>
><br>
> While it may be possible to securely implement automation based on<br>
> this that does so securely, checking the CSR and correlates it to the<br>
> CSR automatically handed in... it sounds unlikely that the majority<br>
> of such implementations do this properly. It would be reasonably<br>
> involved to arrive at an actually secure automated process, and it<br>
> would so easily lend itself to an insecure implementation.<br>
<br>
You can see in Amazon's documentation<br>
(<a href="https://docs.aws.amazon.com/acm/latest/userguide/email-automation.html" rel="noreferrer" target="_blank">https://docs.aws.amazon.com/acm/latest/userguide/email-automation.html</a>)<br>
that the email clearly specifies the account ID of the certificate<br>
requester and a certificate identifier.  It is critical to validate the<br>
account ID.  I don't think this is as hard as you're suggesting.<br>
<br>
> It would be my guess that you could arrive at a secure automation for<br>
> the use case you describe with much less effort through the use of<br>
> e.g. ACME.<br>
<br>
Unfortunately, I don't think this is universally true.  ALPN and<br>
HTTP challenges don't work for wildcards or hostnames that are not<br>
publicly-accessible on port 80 or 443.  Large organizations usually lock<br>
down the ability to create DNS records, or are using DNS providers<br>
without sensible APIs, making it a significant challenge to manage DNS<br>
challenges at scale.  Being able to delegate certificate validation for<br>
all domains to a central point is extremely useful.<br>
<br>
> Accordingly, as I currently see it, this use case is not necessarily<br>
> one that seems valuable to keep around in the face of fundamental<br>
> challenges with the underlying WHOIS based Domain Validation method,<br>
> or at all.<br>
<br>
In the long term this should not be a reason to keep around WHOIS<br>
validation, and I support immediately sunsetting WHOIS validation for<br>
ccTLDs due to the demonstrated problem there.  I just wanted to provide<br>
an explanation for why sunsetting WHOIS would be disruptive to<br>
currently-deployed automation solutions.<br>
<br>
Regards,<br>
Andrew<br>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>