<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        color:windowtext;
        text-decoration:none none;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:753432947;
        mso-list-template-ids:-271928164;}
@list l1
        {mso-list-id:1024749210;
        mso-list-template-ids:-1214639324;}
@list l2
        {mso-list-id:1964455309;
        mso-list-template-ids:1719467628;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-GB link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'>Hi Ryan,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'>Some quick feedback from GlobalSign inline </span><b><i><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>[Steve Roylance]</span></i></b><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'>Steve</span><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:#0433FF'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif";mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Ryan Sleevi<br><b>Sent:</b> 21 January 2014 21:08<br><b>To:</b> Ben Wilson<br><b>Cc:</b> public@cabforum.org<br><b>Subject:</b> Re: [cabfpub] Fwd: question on 17.9 of baseline<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Tue, Jan 21, 2014 at 12:08 PM, Ben Wilson <<a href="mailto:ben@digicert.com" target="_blank">ben@digicert.com</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>See question below:<br><br><br>-------- Original message --------<br>From: "Sheehy, Don (CA - Toronto)" <<a href="mailto:dosheehy@deloitte.ca" target="_blank">dosheehy@deloitte.ca</a>> <br>Date: 01/21/2014 11:42 AM (GMT-07:00) <br>To: <a href="mailto:ben@digicert.com" target="_blank">ben@digicert.com</a> <br>Subject: question on 17.9 of baseline <br><br><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Can you pose this to the forum</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'> </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>“17.9 Regular    Quality  Assessment       of       Technically      Constrained     Subordinate     CAs     </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>During the period in which a Technically Constrained Subordinate CA issues Certificates, the CA which signed the </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Subordinate CA SHALL monitor adherence to the CA’s Certificate Policy and the Subordinate CA’s Certification </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Practice Statement. On at least a quarterly basis, against a randomly selected sample of the greater of one certificate </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>or at least three percent of the Certificates issued by the Subordinate CA, during the period commencing </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>immediately after the previous audit sample was taken, the CA shall ensure all applicable Baseline Requirements are </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>met. </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:0cm;text-indent:-18.0pt;mso-list:l1 level1 lfo1'><![if !supportLists]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><span style='mso-list:Ignore'>1.<span style='font:7.0pt "Times New Roman"'>     </span></span></span><![endif]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Has the Forum established how they will get evidence that the population the subordinate says have issued is accurate to choose the 3%<o:p></o:p></span></p></div></div></div></blockquote><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>I'm not aware of any technical means by any root program member at this time. The closest that one can come is Certificate Transparency, although it's been suggested to not require certificates issued by a technically constrained sub-CA to be publicly logged.<o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b><i><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>[Steve Roylance] GlobalSign is looking to add an auditing module to each implementation that captures details of 100% of certificates issued with the intention of auditing all 100% (rather than just the 3%), however until that’s complete we look at logs from their systems to determine totals and we have our own scanning capability to check.   I feel that it will be hard for Subordinate CA’s using commercial s/w to be able to use CT.  Only when ALL these offerings (Specifically MS AD CS and EJBCA as the most popular) are able to use CT should we discuss.</span></i></b><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:0cm;text-indent:-18.0pt;mso-list:l2 level1 lfo2'><![if !supportLists]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><span style='mso-list:Ignore'>1.<span style='font:7.0pt "Times New Roman"'>     </span></span></span><![endif]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>What specifically will be checked since the cert is technically constrained ? – ie what are the applicable baseline Requirements that will be tested ( this sould be agreed for consistency)<o:p></o:p></span></p></div></div></div></blockquote><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>The Baseline Requirements do not presently establish this, unfortunately. The 'intent' of permitting technically constrained subordinate CAs was to absolve such subordinates of many of the auditing requirements found within the BRs.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>My take is that the focus should be on the conformance to the technical profile - which can be automated - while de-emphasizing focus on some of the identity-related assertions, since the technical constraints restrict those.<o:p></o:p></p><p class=MsoNormal><b><i><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>[Steve Roylance] +1 and why we are looking to create something that does this.</span></i></b><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>We would need a BR amendment to clarify these requirements, I believe, as none of them should _need_ to be required, given the nature of the technical constraint.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>1) subjectAltNames contains only names within the registered domain namespace of the technically constrained subordinate CA certificate and conforms with the technical requirements of 9.2.1.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>[Note: This intentionally precludes internal server names, for which technically constrained subCAs should not be permitted, by virtue of both technical constraints and public trust.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>This is also (arguably) a defense against clients that do not support NC, since NC is not marked critical. However, we may simply to decide to leave such clients "on their own", with respect to security, and either support NC or run the risk.]<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>2) Validity period conformance to 9.4.1 (although not critical, as the subordinate CA cert should be constrained)<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>[Note: The validity period constraint on the intermediate should prevent any long-lived end-entity certs from being valid, except in the case where a customer performs an intermediate re-issuance that extends the date of the intermediate, thus allowing EE certs to continue to be valid. Then again, the only ones harmed is themselves]<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>3) Conformance to the Cryptographic Algorithm / Key Requirements profile in Appendix A<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>[Note: It could be argued that by virtue of technical constraint, it's not necessary to require this conformance, since at worst, an organization that fails to comply is only affecting their own security]<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>4) Conformance to the Certificate Extensions profile in Appendix B<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>[Note: Again, it could be argued that by virtue of technical constraint, the only ones they're harming is themselves].<o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:0cm;text-indent:-18.0pt;mso-list:l0 level1 lfo3'><![if !supportLists]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><span style='mso-list:Ignore'>1.<span style='font:7.0pt "Times New Roman"'>     </span></span></span><![endif]><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>The evidence for the 3% checking will then need to be kept for the auditors for the baseline audit.<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><i><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>[Steve Roylance] Agreed.  This is a must.</span></i></b><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Thanks </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'> </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Don</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'> </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#000066'>Donald E. Sheehy, CPA, </span></b><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>CA, CISA, CRISC, CIPP/C</span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Verdana","sans-serif";color:#000066'>Partner | Enterprise Risk </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Verdana","sans-serif";color:#000066'>Deloitte  </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#004994'>30 Wellington St Wt, PO Box 400, Stn Commerce Crt, Toronto, ON M5L 1B1</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#004994'>Direct: <a href="tel:416-601-5863" target="_blank">416-601-5863</a> | Main: <a href="tel:416-601-6500" target="_blank">416-601-6500</a></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#004994'>Fax: <a href="tel:416-601-6400" target="_blank">416-601-6400</a> | Mobile: <a href="tel:416-301-2350" target="_blank">416-301-2350</a></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><a href="mailto:name@deloitte.ca" target="_blank"><span style='font-size:8.0pt;font-family:"Arial","sans-serif"'>dosheehy@deloitte.ca</span></a></span><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#004994'> | </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><a href="http://www.deloitte.ca/" target="_blank"><span style='font-size:8.0pt;font-family:"Arial","sans-serif"'>www.deloitte.ca</span></a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#004994'> </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#00A8E6'>Deloitte is proud to be an Official Supplier </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:8.0pt;font-family:"Arial","sans-serif";color:#00A8E6'>of the Canadian Olympic team  </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:7.5pt;font-family:"Arial","sans-serif";color:#92D400'>Please consider the environment before printing. </span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><p>Confidentiality Warning: This message and any attachments are intended only for the use of the intended recipient(s), are confidential, and may be privileged. If you are not the intended recipient, you are hereby notified that any review, retransmission, conversion to hard copy, copying, circulation or other use of this message and any attachments is strictly prohibited. If you are not the intended recipient, please notify the sender immediately by return e-mail, and delete this message and any attachments from your system. Thank you. <br>Information confidentielle: Le présent message, ainsi que tout fichier qui y est joint, est envoyé à l'intention exclusive de son ou de ses destinataires; il est de nature confidentielle et peut constituer une information privilégiée. Nous avertissons toute personne autre que le destinataire prévu que tout examen, réacheminement, impression, copie, distribution ou autre utilisation de ce message et de tout fichier qui y est joint est strictement interdit. Si vous n'êtes pas le destinataire prévu, veuillez en aviser immédiatement l'expéditeur par retour de courriel et supprimer ce message et tout document joint de votre système. Merci.<o:p></o:p></p></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>Public mailing list<br><a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br><a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div></div></div></body></html>