<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 7:07 PM John Levine <<a href="mailto:john.levine@standcore.com">john.levine@standcore.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 14 Nov 2018, Dmitry Belyavsky wrote:<br>
> If I read the RFC 8398 correctly, to verify the chain we do not need to<br>
> punycode anything.<br>
> We need to unpunycode to compare email with nameConstraints.<br>
<br>
I suppose, if you are 100% sure that the UTF-8 email you're comparing it <br>
with has the domain part fully normalized according to IDNA2008 specs.<br></blockquote><div><br></div><div>Got your point. </div><div><br></div><div>If nameConstraints and email itself are encoded with the same errors, it will work; </div><div>otherwise we get nasty errors.</div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">SY, Dmitry Belyavsky</div></div>