<div dir="ltr">The latest draft (02) of FastFed Core includes a mechanism for discovery that uses the "fastfed._well_known" subdomain, resulting in requests to URLs such as "<a href="https://fastfed.">https://fastfed.</a>_<a href="http://well_known.example.com">well_known.example.com</a>"<br><br>I am a proponent of moving in this direction, as I'd like to see a mechanism for discovery that is both operationally easy to delegate as well as secure.<br><br>There are a couple issues that need addressing in the current draft:<br><br>1. The CA Browser Forum no longer allows issuing TLS certificates to domain names containing underscores.  Details here: <a href="https://blog.entrust.com/2019/01/removal-of-underscores-from-domain-names/">https://blog.entrust.com/2019/01/removal-of-underscores-from-domain-names/</a><br><br>I assume the intent of using underscores was to align with RFC8552.  However, the use of underscores in that specification, alongside generalized DNS resource records (TXT, SRV, URL), does not require use of HTTPS (and associated certificates).  Due to the fact that this mechanism does require HTTPS, I believe we should be using domain names that are valid hostnames.  That implies we need to not use underscores.<br><br>I suggest we use "well-known" as the subdomain.  If anyone knows of issues that would prevent that, please let the group know.<br><br>2. I'm unclear on why "fastfed._well_known" is being used as a way to locate the<br>WebFinger endpoint.  Why not use "webfinger._well_known"?<br><br>The later would be more general purpose, and would allow other applications (such as OIDC) to make use of the same mechanism.  It'd be nice to align the work being done here so that the discovery mechanism is reusable by other protocols.<br><br>Regarding this, I am working on pulling this capability out into its own draft specification, so that other protocols can take advantage of it.  For anyone who<br>wants to assist or comment, that draft is currently here:<br><a href="https://github.com/jaredhanson/draft-well-known-dns-subdomain/blob/master/spec.txt">https://github.com/jaredhanson/draft-well-known-dns-subdomain/blob/master/spec.txt</a><br><br>Thanks,<br>Jared Hanson<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Jared Hanson <<a href="http://jaredhanson.net/" target="_blank">http://jaredhanson.net/</a>></div></div>