<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>I should mention that the detection relies on implementation of the Gossiping feature (which is not yet operational).  The risk is mitigated by requiring three logs.  However, the number of logs is not readily detectable if the proof is served through OCSP.  Considering that gossiping is slow to detect, having some minimum security requirements is a very good idea.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Jeremy Rowley<br><b>Sent:</b> Thursday, January 23, 2014 1:48 PM<br><b>To:</b> kirk_hall@trendmicro.com; 'CABFPub'; ben@digicert.com<br><b>Subject:</b> Re: [cabfpub] Time in Mountain View to discuss business rules around CT<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Although a discussion sounds good at the face-to-face, Google has already answered most of these in their spec/communications.  Still, I agree with a discussion at Mountain View to make sure everyone is on the same page.<o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></b></p><p class=MsoNormal><b><span style='font-size:12.0pt'>1.  Security requirements for CT logs<o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>a.  General security requirements – should we apply sections of the CABF Baseline Requirements and/or the Network and Certificate System Security Requirements to CT logs?  (I have a real concern that a hacker could hack a CT log, force a rogue cert to be signed by the log, but prevent posting to the log so the rogue cert will be undetectable – that would make CT unreliable.) <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>No it wouldn’t. Since the SCT is public, that is a detectable event and would cause the log to lose trust.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>b.  Should there be other required qualifications to run a CT log – finances, insurance?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Uptime.  That is the only requirement.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>c.  Audits – should we fold CT log requirements into the relevant parts of the existing WebTrust/ETSI third party audit structure?  Require public audit reports?  And what should be audited?  (1) The integrity of the CT log, (2) the security around the CT log (data center, configuration between CT log signing and CT log so no signed certs are omitted from the log), (3) who has been given access to the CT log, and whether access rules and restrictions have been followed, or (4) all three issues?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>No.  Security is less relevant for logs than CAs.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>d.  Access – who may submit certs for signing and posting to a CT log?  Only WebTrust/ETSI audited CAs?  Anyone?  What restrictions, if any, should be considered?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>I believe this is up to the log operator. <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>e.  Costs – are CT logs allowed to charge for posting?  For queries?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Sure.  However, anyone that charges will find themselves with an empty log.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>f.  Business continuity / disaster recovery plans – If a CT log goes down, it could leave many thousands of cert owners and CAs in a bind.  What if the company running the CT log just goes out of business – who would step in to maintain the CT log until all the issued certs have expired?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Hence the requirement to hit three logs.  Don’t use a log you don’t trust.  Google is running two logs.  DigiCert is planning on running a log. <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:12.0pt'>2.  Handling of certificate data in a CT log<o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>a.  Who is permitted to query a CT log?  What data can they see?  What data can they copy?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Google said anyone in their original spec.  In fact it almost needs to be anyone for the CT log to work properly since the monitors are not necessarily the domain holders. That said, some restrictions on the information found in certs (especially ones issued to individuals) would be great to avoid potential privacy issues.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'>One alternative would be as follows:<o:p></o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'>(1) <u>Domain owners</u> can query their own domains at any time – but could be required to prove domain ownership or control by using the automatic method at BR 11.1.1 at intervals, say every 1-3 years.  Domain owner accounts could then be set up protected by a user name and password, with the domain owners could share with third party monitor companies for automated access.<o:p></o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'>(2) <u>Browsers</u> who support CT could query the CT logs at will, but only for the limited purpose of confirming that logs are in compliance with applicable rules and that their Merkle trees are available and not corrupted.  Browsers would not be able to compile the CT log certificate data, productize it, or reuse it for other purposes, as this raises privacy concerns for domain owners and also would appropriate valuable business data belonging to the CAs and domain owners.<o:p></o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'>(3) <u>The public</u> – it would be possible to allow the public to look up certs issued to a particular domain on a one-by-one basis (having to establish a user account and go through a captcha to see the data for a domain) – but for what valid purpose does the public need access to the data in a CT log?  Because of domain owner privacy concerns, the collected data has a business value to CAs and domain owners, and to avoid data mining for unauthorized purposes, there may not be any reason to allow public lookups in CT logs.  After all, if a member of the public sees a cert issued by a public CA that has been signed by a CT log but looks suspicious for some reason, the person can simply report the cert as suspicious to the issuing CA using the Reporting address on each CA’s website.  Why else would the public have a need to query CT logs?<o:p></o:p></span></p><p class=MsoNormal style='margin-left:1.0in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>b.  Can a domain owner “opt out” of CT?  Domain owners probably can’t opt out of having their certs signed by CT logs (that sounds like it will be a technical requirement), but some domain owners may not want anyone but themselves to be able to view/query CT log data about their certs for their domains – not the public, and not the browsers.  In this regard, it would be like a “Do Not Call” list for telemarketing. <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Nope. Domain owners can opt out by having an intermediate that is technically constrained added to the log.  However, they cannot opt out completely.  <o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>Also, could a hacker leverage CT logs as a way to discover internal resources about the organization that is not normally available?  (Many certificates cannot be publically discovered today because they are behind a firewall).  Because BR 9.2.1 phases out Internal Server Name and IP address certs, the Forum has encouraged customers to use FQDN certs for their internal systems – but customers may not want to reveal the names of these internal FQDN certs to anyone else.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>They could.  This has always been a concern.  Again, the answer to this is use a logged technically-constrained intermediate.<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:12.0pt'>3.         Who must meet CT requirements?<o:p></o:p></span></b></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>(a) Commercial CAs only?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>They must meet the CA part of CT requirements</span><span style='font-size:12.0pt'><o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>(b) External sub-CAs?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>Yes – all certs must be logged except where they are only used internally.  Entities only issuing certs within their own infrastructure can configure Chrome to trust certs without the SCT.  However, these certs will be considered untrusted if they leak outside the entities’ own systems.</span><span style='font-size:12.0pt'><o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>(c) All CAs with roots in the browsers?  (Government CAs, etc.)<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>All CAs issuing SSL Certs that will work in Chrome.</span><span style='font-size:12.0pt'><o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-size:12.0pt'>(d) Will there be an alternative process that a CA can use besides CT?<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>At the start, they are implementing a white list of non-compliant certs but all CAs will need to comply eventually. Google has not yet announced this date.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p></div></body></html>