<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">It would greatly benefit this discussion if you could provide us with this non-public documentation (with permission of course) backing up this assertion. I'm not calling you a liar. It's more to do with why certain things happened and what led up to these decisions being made.<br></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Oct 22, 2018 at 4:52 PM Phillip via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_4731923402865759474WordSection1"><p class="MsoNormal"><a href="https://tools.ietf.org/html/rfc5507" target="_blank">https://tools.ietf.org/html/rfc5507</a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Note section 5 in particular.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Since I was at the center of those discussions as Principal Scientist of VeriSign, I had access to much that was not public. The Design Choices RFC was issued in an attempt to discourage the approach used in Bonjour which was already becoming a de facto standard.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">This is why RFC 6763 only appeared in 2013.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal" style="margin-left:.5in"><b>From:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> <br><b>Sent:</b> Monday, October 22, 2018 11:26 AM<br><b>To:</b> Phillip <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>><br><b>Cc:</b> <a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>; Wayne Thayer <<a href="mailto:wthayer@mozilla.com" target="_blank">wthayer@mozilla.com</a>><br><b>Subject:</b> Re: [Servercert-wg] [cabf_validation] Underscores, DNSNames, and SRVNames<u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p><div><p class="MsoNormal" style="margin-left:.5in">Could you provide any links to IETF discussions that you believe could help provide better clarity?<u></u><u></u></p><div><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p></div><div><p class="MsoNormal" style="margin-left:.5in">I tried to demonstrate via source documents. If you believe these documents are incorrect with dates, this seems like it would be a significant issue for the IETF to resolve rather rapidly. If you believe there are additional source documents that should be considered, that would support the claim, I'd welcome them as an opportunity to understand why you believe the underscores issue is somehow particular to RFC 5280 in 2008, considering the language was introduced and incorporated a decade and two documents prior.<u></u><u></u></p></div></div><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p><div><div><p class="MsoNormal" style="margin-left:.5in">On Mon, Oct 22, 2018 at 11:16 AM Phillip <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal" style="margin-left:.5in">I was there. <u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in">You were not<u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in">You have no idea what you are talking about.<u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p><p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p><p class="MsoNormal" style="margin-left:1.0in"><b>From:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> <br><b>Sent:</b> Monday, October 22, 2018 10:48 AM<br><b>To:</b> Phillip <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>><br><b>Cc:</b> <a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>; Wayne Thayer <<a href="mailto:wthayer@mozilla.com" target="_blank">wthayer@mozilla.com</a>><br><b>Subject:</b> Re: [Servercert-wg] [cabf_validation] Underscores, DNSNames, and SRVNames<u></u><u></u></p><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p><div><div><div><p class="MsoNormal" style="margin-bottom:12.0pt;margin-left:1.0in"> <u></u><u></u></p><div><div><p class="MsoNormal" style="margin-left:1.0in">On Mon, Oct 22, 2018 at 10:22 AM Phillip <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><div><div><p class="MsoNormal" style="margin-left:1.0in">RFC 5280 was issued in 2008 when the DNS community had a very different understanding of the role of underscores. <u></u><u></u></p></div></div></div></div></div></blockquote><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><div><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p><p class="MsoNormal" style="margin-left:1.0in">There was a faction devoted to the peculiar notion that the way to deploy DNSSEC was to force use of DNS features that would require the use of new RRs as a means of accelerating DNS deployment. That strategy is now moot.<u></u><u></u></p></div></div></div></div></div></blockquote><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in">That's an interesting, but rather completely ahistorical and demonstrably incorrect take, on the provenance and relevance of that requirement, which of course undermines the entirity of your argument.<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in">Said language originates in RFC 2459, published as such in 1999, although the relevant section itself with respect to preferred name syntax dating to the changes made in <a href="https://tools.ietf.org/html/draft-ietf-pkix-ipki-part1-08" target="_blank">https://tools.ietf.org/html/draft-ietf-pkix-ipki-part1-08</a> (in 1998) in response to a lack of clarity in the language in previous drafts.<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in">Considering this, it seems entirely wrong to suggest it was a "mistake", especially since the proposed specification of SRVName is already encapsulated in RFC 4985, developed by Microsoft in 2007.<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in">If your view is that "The IETF wasn't thinking about this SRVName stuff in 2008", that too can be demonstrated as false, considering <a href="https://tools.ietf.org/html/draft-ietf-pkix-srvsan-00" target="_blank">https://tools.ietf.org/html/draft-ietf-pkix-srvsan-00</a> was dated 2005.<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in"> <u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:1.0in">So it would be woefully mistaken to suggest it was a "mistake" or oversight, and equally mistaken to suggest that it's somehow necessary for the CA/Browser Forum to deliberately introduce security and compatibility issues in pursuit of new certificate issuance opportunities.<u></u><u></u></p></div></div></div></div></div></div></div></blockquote></div></div></div>_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="http://cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">http://cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>