<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">What is more concerning is that the
IssuingDistributionPoint extension of your CRLs isn't critical.<br>
This is a MUST, and there are security reasons behind it.<br>
<br>
<pre class="moz-signature" cols="72">--
Erwann ABALEA
</pre>
Le 04/04/2014 12:12, Enric Castillo a écrit :<br>
</div>
<blockquote cite="mid:533E8579.9020108@anf.es" type="cite">
<meta http-equiv="content-type" content="text/html;
charset=ISO-8859-1">
Hi,<br>
<br>
We've received recently a bug from one of our partners, about a
bad encoding of our CRL, specifically the value
onlyContainsCACerts that is set "false", that has the same default
value.<br>
<br>
<i><small> IssuingDistributionPoint ::= SEQUENCE {<br>
distributionPoint [0] DistributionPointName
OPTIONAL,<br>
onlyContainsUserCerts [1] BOOLEAN DEFAULT FALSE,<br>
onlyContainsCACerts [2] BOOLEAN DEFAULT FALSE,<br>
onlySomeReasons [3] ReasonFlags OPTIONAL,<br>
indirectCRL [4] BOOLEAN DEFAULT FALSE,<br>
onlyContainsAttributeCerts [5] BOOLEAN DEFAULT FALSE }<br>
<br>
-- at most one of onlyContainsUserCerts,
onlyContainsCACerts,<br>
-- and onlyContainsAttributeCerts may be set to TRUE.</small></i><br>
<br>
I've read the ASN.1 Encoding Rules ( <a moz-do-not-send="true"
class="moz-txt-link-freetext"
href="http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf">http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf</a>
):<br>
<i><small>11.5 Set and sequence components with default
value<br>
The encoding of a set value or sequence value
shall not include an encoding for any component value which is
equal to its default value.<br>
</small></i><br>
<br>
Then, our CRL is wrong.<br>
<br>
Also I've saw that a recent bugzila ( <a moz-do-not-send="true"
class="moz-txt-link-freetext"
href="https://bugzilla.mozilla.org/show_bug.cgi?id=988633">https://bugzilla.mozilla.org/show_bug.cgi?id=988633</a>
) was opened to discuss a similar trouble, in terms that also
affect ANF AC, because the basic constraints are being malformated
also. It seems that is a common badformating, both certificates
and CRL of many CA/B Forum members.<br>
<br>
<br>
The reason why we included this fields is to emphasize some field
that we think that are important.<br>
<br>
What position takes CA/B Forum?<br>
<br>
<br>
Thanks,<br>
Enric<br>
<div class="moz-signature">-- <br>
<p><img src="cid:part3.05070805.05010007@keynectis.com" alt="ANF
Autoridad de Certificación"></p>
<b>Enric Castillo</b><br>
Departamento de Ingeniería<br>
ANF Autoridad de Certificación<br>
<a moz-do-not-send="true" style="color: #007fa9;"
href="mailto:enric.castillo@anf.es">enric.castillo@anf.es</a><br>
<a moz-do-not-send="true" style="color: #007fa9;"
href="https://www.anf.es">www.anf.es</a><br>
<br>
<b>Aviso</b>
<p style="font-size: x-small;">Este mensaje se dirige
exclusivamente a su destinatario y puede contener información
privilegiada o confidencial y/o datos de carácter personal,
cuya difusión está regulada por la Ley Orgánica de Protección
de Datos y la Ley de Servicios de la Sociedad de la
Información. Si usted no es el destinatario indicado (o el
responsable de la entrega al mismo), no debe copiar o entregar
este mensaje a terceros bajo ningún concepto. Si ha recibido
este mensaje por error o lo ha conseguido por otros medios, le
rogamos que nos lo comunique inmediatamente por esta misma vía
y proceda a su eliminación irreversible. Las opiniones,
conclusiones y demás informaciones incluidas en este mensaje
que no estén relacionadas con asuntos profesionales de ANF
Autoridad de Certificación no están respaldadas por la
empresa. </p>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Public mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Public@cabforum.org">Public@cabforum.org</a>
<a class="moz-txt-link-freetext" href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a>
</pre>
</blockquote>
<br>
</body>
</html>