<div dir="ltr">Dear John,<br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 3:59 PM John Levine <<a href="mailto:john.levine@standcore.com">john.levine@standcore.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 14 Nov 2018, Dmitry Belyavsky wrote:<br>
> OpenSSL team does not want to link OpenSSL with, say, libidn (and to<br>
> implement IDN conversion inside the library for domains).<br>
> I've found out that 2-3 functions inherited from RFC 3492 will fit all the<br>
> purposes necessary to implement RFC 8399.<br>
<br>
Wait -- surely you know that you can't just punycode any old UTF-8 and <br>
expect it to work.  I can understand why openssl wouldn't want all of <br>
libidn2 but at least you need to check that the strings are all valid <br>
IDNA2008 code points.<br>
<br>
If you don't, you're going to have hard to find bugs with names that look <br>
the same but aren't normalized so comparisons will fail.<br></blockquote><div><br></div><div>If I read the RFC 8398 correctly, to verify the chain we do not need to punycode anything. </div><div>We need to unpunycode to compare email with nameConstraints.</div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">SY, Dmitry Belyavsky</div></div>