<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 5, 2022 at 1:27 PM Doug Beattie <<a href="mailto:doug.beattie@globalsign.com">doug.beattie@globalsign.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US" style="overflow-wrap: break-word;"><div class="gmail-m_3550940395579108605WordSection1"><p class="MsoNormal">Hey Ryan,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I’d be interested in your opinion on the Amazon AWS process.  While they are not a CA, they aren’t the subscriber either and they facilitate automated domain validation much like Tim outlined below.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><a href="https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html" target="_blank">https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html</a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Should this also be prohibited?</p></div></div></blockquote><div><br></div><div>Actually, Amazon (AWS) makes it explicit that they are the Subscriber/Applicant, IIRC. AWS is obtaining certificates not from ATS, but from DigiCert, and AWS executes the Subscriber Agreement with DigiCert. I believe they may also execute a ToU with ATS (given the Affiliate nature)</div><div><br></div><div>Notably, AWS does not provide access to the key to their customers as well, precisely because (again, AIUI), the customer is not the Applicant/Subscriber.</div><div><br></div><div>I'd need to dig through the AWS Service agreement again, or perhaps Trev can chime in with the cite, but IIRC, this was made explicit (in that AWS was the Subscriber, and that the Customer, as Domain representative, was authorizing AWS to become a Subscriber for their domains)</div></div></div>