<div dir="ltr">Dear John, <div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 7:59 PM Dmitry Belyavsky <<a href="mailto:beldmit@gmail.com" target="_blank">beldmit@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 7:07 PM John Levine <<a href="mailto:john.levine@standcore.com" target="_blank">john.levine@standcore.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 14 Nov 2018, Dmitry Belyavsky wrote:<br>
> If I read the RFC 8398 correctly, to verify the chain we do not need to<br>
> punycode anything.<br>
> We need to unpunycode to compare email with nameConstraints.<br>
<br>
I suppose, if you are 100% sure that the UTF-8 email you're comparing it <br>
with has the domain part fully normalized according to IDNA2008 specs.<br></blockquote><div><br></div><div>Got your point. </div><div><br></div><div>If nameConstraints and email itself are encoded with the same errors, it will work; </div><div>otherwise we get nasty errors.</div></div><div><br></div></div></blockquote><div> </div><div>I've got a response from Victor Dukhovni. His position is:</div><div><br></div><div>1. It's better to ask OpenSSL about their plans :) via <a href="mailto:openssl-project@openssl.org">openssl-project@openssl.org</a></div><div>2. (Limiting scope to EAI certificates) OpenSSL must trust the CA software</div><div>that has provided punycode representation of the domain name. So we can decode </div><div>A-labels and compare them. So the certificate itself can be verified, and questions</div><div>whether the EAI address matches the address in From: header is out of scope of the</div><div>certificate validation process.</div><div><br></div><div> </div></div><div><br></div>-- <br><div dir="ltr" class="m_5289709924625502110gmail_signature" data-smartmail="gmail_signature">SY, Dmitry Belyavsky</div></div></div>