<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 12, 2016 at 8:31 PM, <a href="mailto:fcorella@pomcor.com">fcorella@pomcor.com</a> <span dir="ltr"><<a href="mailto:fcorella@pomcor.com" target="_blank">fcorella@pomcor.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word"><div>This would be difficult to do in TLS, because the client would have to<br></div><div>retrieve the server's certificate chain, and the DNS may not be able</div><div>to supply that much data without hiccups. </div></div></blockquote><div><br></div>While I'm not really a fan of DNSSEC, DANE TLSA records can contain a Domain-Issued Certificate where the entire certificate is provided in and authenticated via a DNS response.</div><div class="gmail_quote"><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>