Actually I had just done so above. <div><br></div><div>The problem with hotlists is that they assume a much higher level of cultural awareness than may exist. So part of the reason for having CAA is to do away with hotlists. So this is another area where maybe some hotlist functionality is required. Can it be brought in scope of CAA? Perhaps even just as a 'don't issue these automatically, take a second look'.</div>
<div><br></div><div><br></div><div>The problem with local as I see it is:</div><div><br></div><div>1) People need certs to do SSL</div><div>2) People want to do SSL on their .local hosts</div><div><br></div><div>If we want a prohibition to stick we should maybe consider how we would want .local to be handled in a way that allows use of crypto but does not give false security indicators?</div>
<div><br><br><div class="gmail_quote">On Wed, Nov 9, 2011 at 10:47 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net">dkg@fifthhorseman.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
On 11/09/2011 10:20 AM, Phillip Hallam-Baker wrote:<br>
> I am not sure that owning <a href="http://example.com" target="_blank">example.com</a> should allow someone to establish a<br>
> prohibition issue of certs to example.com.**.com.<br>
<br>
It's not clear to me who you think suggested this;  i certainly didn't,<br>
and i think it would be a terrible idea.<br>
<br>
My use of this "prefix-style" approach to the sAN was as an attempt to<br>
scatter some chaff to distract from the public/global name "hidden" in<br>
the sAN list.<br>
<br>
My concern is that the CAs in question appear to be signing certificates<br>
for names that do not have any domain suffix at all, or have a suffix<br>
(like .local) known to be used in a colliding fashion by many people.<br>
<br>
I'm baffled by the idea that any CA would think it reasonable to sign a<br>
.local name for a certificate of any duration, let alone a 5 year duration.<br>
<span class="HOEnZb"><font color="#888888"><br>
        --dkg<br>
<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br><br>
</div>