<html><head><base href="x-msg://3/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>The BR already requires CAs to maintain a 'High risk request' list. All CAA does is to define an additional mechanism that can be used by domains to self advertise themselves as requiring processing as high risk.</div><div><br></div><div>On the compliance front, I am pretty sure we can wire up pretty much any of CT or other transparency scheme to CAA and get good measurement of compliance. But if we try to wait till everything is in place before we start we will never start.</div><div><br></div><div><br></div><br><div><div>On Jun 7, 2013, at 5:32 PM, Jeremy Rowley wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div lang="EN-US" link="blue" vlink="purple"><div class="WordSection1" style="page: WordSection1; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Although I am starting to like the concept of CAA, I think this is an improper way to implement a CAA requirement.  If a CA already has rigorous validation practices and can accurately identify the request as originating from the proper entity, Iím not sure that additional checks are necessary.<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p> </o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">If we plan to implement CAA in the Forum, we should develop a discernible standard that can be used to measure compliance.  In fact, perhaps the RFC should be revised prior to the Forumís adoption to identify what additional verification requirements should be considered necessary before issuance of a certificate.  That way the Forum has a basis for setting the additional checks and CAs will have a better understanding of how to comply.<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p> </o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Jeremy<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p> </o:p></span></div><div><div style="border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; border-top-style: solid; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding-top: 3pt; padding-right: 0in; padding-bottom: 0in; padding-left: 0in; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span><a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:public-bounces@cabforum.org]<span class="Apple-converted-space"> </span><b>On Behalf Of<span class="Apple-converted-space"> </span></b>Phillip<br><b>Sent:</b><span class="Apple-converted-space"> </span>Friday, June 07, 2013 10:10 AM<br><b>To:</b><span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b><span class="Apple-converted-space"> </span>[cabfpub] CAA Proposal<o:p></o:p></span></div></div></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">Following up on the CAA threads, I would like to propose the following (subject to discussion):<o:p></o:p></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">1) CABForum endorse the publication of CAA records by domain name owners to mitigate the risk of issue of certificates in response to an unauthorized or fraudulent request.<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">2) The Basic requirements be updated to add a requirement that CAs state their policy for use of CAA records in their CPS.<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">"A CA MUST state its policy for processing CAA records as defined in RFC 6844"<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">Rationale: <o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><a href="http://tools.ietf.org/html/rfc6844" style="color: blue; text-decoration: underline; ">http://tools.ietf.org/html/rfc6844</a><o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">To be compliant with the RFC, a CA MUST comply with the requirements of section 4:<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; text-align: start; -webkit-text-stroke-width: 0px; word-spacing: 0px; "><span style="font-size: 12pt; color: black; ">Before issuing a certificate, a compliant CA MUST check for<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   publication of a relevant CAA Resource Record set.  If such a record<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   set exists, a CA MUST NOT issue a certificate unless the CA<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   determines that either (1) the certificate request is consistent with<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   the applicable CAA Resource Record set or (2) an exception specified<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   in the relevant Certificate Policy or Certification Practices<o:p></o:p></span></pre><pre style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 10pt; font-family: 'Courier New'; page-break-before: always; "><span style="font-size: 12pt; color: black; ">   Statement applies.<o:p></o:p></span></pre><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">A CA can be minimally compliant with the specification by simply publishing a statement that says that they retrieve and process CAA records for each request and then grant an automatic exception in every case.<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">This is deliberate because there is a peculiar edge case in which the Domain Name owner does not control their DNS publication infrastructure and the party that does inserts a spurious CAA record to limit competition. It also avoided the need for theological debates on what is and is not a public delegation point.<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">The point of CAA is to benefit CAs by reducing the cost of detecting potential fraudulent applications and mitigating the risk of issuing a certificate. But as with any other validation check, the response to a request that is non-consistent is not going to be to kick the request back to manual processing. There is going to be a person in the loop making enquiries. Either the CAA record is spurious and the CA wants to get it changed so that they can take the business or they have just detected an unauthorized request which they are going to want to look at an analyze and study.<o:p></o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">A CA could write a CPS statement that says they look at CAA records and then ignore them completely but that would not look good. I think it rather more likely that it would say something like they have some sort of process for determining that CAA records do not represent the intention of the Domain Owner and publish a list of domains they will ignore CAA records from. This might include top-level domains like .com etc. But the fact that CAs have the option of ignoring the CAA records is probably sufficient to deter an attack.</div></div></div></div></span></blockquote></div><br></body></html>