<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On 18 September 2013 21:47, Viktor Dukhovni <span dir="ltr"><<a href="mailto:cryptography@dukhovni.org" target="_blank">cryptography@dukhovni.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Sep 18, 2013 at 08:04:04PM +0100, Ben Laurie wrote:<br>
<br>
> > This is only realistic with DANE TLSA (certificate usage 2 or 3),<br>
> > and thus will start to be realistic for SMTP next year (provided<br>
> > DNSSEC gets off the ground) with the release of Postfix 2.11, and<br>
> > with luck also a DANE-capable Exim release.<br>
><br>
> What's wrong with name-constrained intermediates?<br>
<br>
</div>X.509 name constraints (critical extensions in general) typically<br>
don't work.<br></blockquote><div><br></div><div>No. They typically work. As usual, Apple are the fly in the ointment.</div><div><br></div></div></div></div>