<div dir="ltr">FWIW it does appear that SSL Labs is including a CAA DNS check as part of its SSL scoring system since January.<br><br><a href="https://blog.qualys.com/ssllabs/2017/01/13/whats-new-ssl-labs-1-26-5">https://blog.qualys.com/ssllabs/2017/01/13/whats-new-ssl-labs-1-26-5</a><br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 24, 2017 at 6:36 AM, Andrew White <span dir="ltr"><<a href="mailto:andrew@vivalibre.com" target="_blank">andrew@vivalibre.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>Hi all,<br><br></div>My google-fu is failing me. Does anyone have any information on the following?<br><br></div>What browser enforcement will be done in Firefox/Chrome/Safari post-Sep 2017 for CAA records? Will the browser throw up a warning like is thrown up for invalid or self-signed certs if a CAA DNS entry indicates the cert presented by the site shouldn't have been issued?<br><br></div>Do I understand correctly that the absense of CAA records will cause no harm; i.e. the absence of a CAA record for a given hostname (or parent domain) simply means that any CA can issue a cert to that FQDN, and no browser complaints will be generated?<br><br></div><div>Are there any cases where lack of a CAA record will have impact other than being permissive on CA cert issuance?<span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888">-Andrew<br></font></span><br>P.S. FWIW I set up a null CAA record today and indeed LetsEncrypt refused to issue me a cert. Good job LetsEncrypt.<br></div>
</blockquote></div><br></div>