
<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">What is more concerning is that the

      IssuingDistributionPoint extension of your CRLs isn't critical.<br>

      This is a MUST, and there are security reasons behind it.<br>

      <br>

      <pre class="moz-signature" cols="72">-- 

Erwann ABALEA


</pre>

      Le 04/04/2014 12:12, Enric Castillo a écrit :<br>

    </div>

    <blockquote cite="mid:533E8579.9020108@anf.es" type="cite">

      <meta http-equiv="content-type" content="text/html;

        charset=ISO-8859-1">

      Hi,<br>

      <br>

      We've received recently a bug from one of our partners, about a

      bad encoding of our CRL, specifically the value

      onlyContainsCACerts that is set "false", that has the same default

      value.<br>

      <br>

      <i><small>   IssuingDistributionPoint ::= SEQUENCE {<br>

                  distributionPoint          [0] DistributionPointName

          OPTIONAL,<br>

                  onlyContainsUserCerts      [1] BOOLEAN DEFAULT FALSE,<br>

                  onlyContainsCACerts        [2] BOOLEAN DEFAULT FALSE,<br>

                  onlySomeReasons            [3] ReasonFlags OPTIONAL,<br>

                  indirectCRL                [4] BOOLEAN DEFAULT FALSE,<br>

                  onlyContainsAttributeCerts [5] BOOLEAN DEFAULT FALSE }<br>

          <br>

                  -- at most one of onlyContainsUserCerts,

          onlyContainsCACerts,<br>

                  -- and onlyContainsAttributeCerts may be set to TRUE.</small></i><br>

      <br>

      I've read the ASN.1 Encoding Rules ( <a moz-do-not-send="true"

        class="moz-txt-link-freetext"

href="http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf">http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf</a>

      ):<br>

              <i><small>11.5 Set and sequence components with default

          value<br>

                      The encoding of a set value or sequence value

          shall not include an encoding for any component value which is

          equal to its default value.<br>

        </small></i><br>

      <br>

      Then, our CRL is wrong.<br>

      <br>

      Also I've saw that a recent bugzila ( <a moz-do-not-send="true"

        class="moz-txt-link-freetext"

        href="https://bugzilla.mozilla.org/show_bug.cgi?id=988633">https://bugzilla.mozilla.org/show_bug.cgi?id=988633</a>

      ) was opened to discuss a similar trouble, in terms that also

      affect ANF AC, because the basic constraints are being malformated

      also. It seems that is a common badformating, both certificates

      and CRL of many CA/B Forum members.<br>

      <br>

      <br>

      The reason why we included this fields is to emphasize some field

      that we think that are important.<br>

      <br>

      What position takes CA/B Forum?<br>

      <br>

      <br>

      Thanks,<br>

      Enric<br>

      <div class="moz-signature">-- <br>

        <p><img src="cid:part3.05070805.05010007@keynectis.com" alt="ANF

            Autoridad de Certificación"></p>

        <b>Enric Castillo</b><br>

        Departamento de Ingeniería<br>

        ANF Autoridad de Certificación<br>

        <a moz-do-not-send="true" style="color: #007fa9;"

          href="mailto:enric.castillo@anf.es">enric.castillo@anf.es</a><br>

        <a moz-do-not-send="true" style="color: #007fa9;"

          href="https://www.anf.es">www.anf.es</a><br>

        <br>

        <b>Aviso</b>

        <p style="font-size: x-small;">Este mensaje se dirige

          exclusivamente a su destinatario y puede contener información

          privilegiada o confidencial y/o datos de carácter personal,

          cuya difusión está regulada por la Ley Orgánica de Protección

          de Datos y la Ley de Servicios de la Sociedad de la

          Información. Si usted no es el destinatario indicado (o el

          responsable de la entrega al mismo), no debe copiar o entregar

          este mensaje a terceros bajo ningún concepto. Si ha recibido

          este mensaje por error o lo ha conseguido por otros medios, le

          rogamos que nos lo comunique inmediatamente por esta misma vía

          y proceda a su eliminación irreversible. Las opiniones,

          conclusiones y demás informaciones incluidas en este mensaje

          que no estén relacionadas con asuntos profesionales de ANF

          Autoridad de Certificación no están respaldadas por la

          empresa. </p>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

Public mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Public@cabforum.org">Public@cabforum.org</a>

<a class="moz-txt-link-freetext" href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>