<br><br><div class="gmail_quote">On Tue, Oct 16, 2012 at 2:37 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="color:#1f497d">OK, two more changes here:<u></u><u></u></span></p><p><u></u><span style="color:#1f497d"><span>1)<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span style="color:#1f497d">Backed out of the statement that the SSL cert shouldn’t be trusted if it doesn’t chain up to a trusted root (dropping the DANE hot potato for the moment)<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>2)<span style="font:7.0pt "Times New Roman"">      </span></span></span><u></u><span style="color:#1f497d">Dropped mention of the BR; the only place it was mentioned was to refer to audit details. I changed it to say refer to Section 17 of [EVSSL].</span></p>
</div></div></blockquote><div>Thanks Rick. I think these changes look good to me.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple">
<div><p><span style="color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Would there be value in adding a section documenting the complete set of EV roots along with the EV OIDs associated with them? I think that this document is the right place for that info.</span></p>
</div></div></blockquote><div><br></div><div>I'm not sure there is particular value here. According to the very recommendations in this document (Section 6.1), individual application developers should be responsibly ensuring that CAs are meeting the audit requirements on a timely basis. Further, every root program effectively goes above-and-beyond the audit requirements, even if it's simply a rubber-stamp process (for example, the execution of agreements as shown by Microsoft and Opera's root programs and as captured in Section 7.2)</div>
<div><br></div><div>As such, the only value a list would provide is providing a point-of-contact for an application developer to proactively request every CA submit their details to the developer. Which seems to be what Section 7.1 provides, and in keeping the burden on the CAs.</div>
<div><br></div><div>Plus, since annual audits are necessary, the list (may) change over time. Maintaining addendum for that seems unnecessary.</div><div><br></div><div>For what it's worth, the relevant whose-who of EV-enabled certificates that I have on-hand:</div>
<div> - For Apple: Available at <a href="http://opensource.apple.com">opensource.apple.com</a> as part of the security_certificates package. For 10.8.2, the direct link is <a href="http://opensource.apple.com/source/security_certificates/security_certificates-55024.2/evroot.config">http://opensource.apple.com/source/security_certificates/security_certificates-55024.2/evroot.config</a></div>
<div> - For Firefox: Main link is <a href="http://www.mozilla.org/projects/security/certs/included/">http://www.mozilla.org/projects/security/certs/included/</a> (which includes link to audit spreadsheet), and in source this is embodied in <a href="http://mxr.mozilla.org/mozilla-central/source/security/manager/ssl/src/nsIdentityChecking.cpp">http://mxr.mozilla.org/mozilla-central/source/security/manager/ssl/src/nsIdentityChecking.cpp</a></div>
<div> - For Chromium: <a href="http://src.chromium.org/viewvc/chrome/trunk/src/net/base/ev_root_ca_metadata.cc?view=markup">http://src.chromium.org/viewvc/chrome/trunk/src/net/base/ev_root_ca_metadata.cc?view=markup</a></div>
<div> - For Opera: Yngve blogs details at <a href="http://my.opera.com/rootstore/blog/">http://my.opera.com/rootstore/blog/</a> , but the raw store can be accessed at <a href="https://certs.opera.com/">https://certs.opera.com/</a> (see 02/ev-oids.xml and 03/ev-oids.xml)</div>
<div> - For Microsoft: Tom can likely provide a better direct URL, but <a href="http://social.technet.microsoft.com/wiki/contents/articles/introduction-to-the-microsoft-root-certificate-program.aspx">http://social.technet.microsoft.com/wiki/contents/articles/introduction-to-the-microsoft-root-certificate-program.aspx</a>  suggests <a href="http://social.technet.microsoft.com/wiki/contents/articles/2592.aspx">http://social.technet.microsoft.com/wiki/contents/articles/2592.aspx</a> as the link (although it does not list EV enablements, AFAIK)</div>
</div>