<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 6, 2014 at 12:58 PM, Kelvin Yiu <span dir="ltr"><<a href="mailto:kelviny@exchange.microsoft.com" target="_blank">kelviny@exchange.microsoft.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It sounds like we have some consensus to move forward on the issue. I can draft a proposal that include the following:<br>

<br>
1. Update Section 11.1.3 to clarify that wildcard is allowed for domains for cloud operators. I hear that when the forum last updated section 11.1.3, there was a lot of headache involved, so I will try to be precise and keep the changes to a minimum.<br>
</blockquote><div><br></div><div>This isn't needed. 11.1.3 already allows this.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2. Update Section 13.1.5 to allow cloud operators a chance to remedy fraudulent sub domains and within a reasonable time period. The idea is that CAs would still be required to contact the cloud operator. But if the cloud operator can take down any fraudulent site within n days (I think n should be less than 7 days) and can attest the private key is not compromised, revocation is not necessary.<br>

<br>
There is also a question about whether these wildcard rules should be applied equally to DV and OV certificates. Both Microsoft and Google (AFAIK) issue OV certificates from their own CA to their own cloud operations, so I am interested in hearing what the forum thinks.<br>

<span class="HOEnZb"><font color="#888888"><br>
Kelvin<br>
</font></span><div class="im HOEnZb"><br>
<br>
-----Original Message-----<br>
From: Rich Smith [mailto:<a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>]<br>
Sent: Tuesday, May 6, 2014 11:11 AM<br>
To: <a href="mailto:ben@digicert.com">ben@digicert.com</a>; 'Gervase Markham'; Kelvin Yiu; <a href="mailto:sleevi@google.com">sleevi@google.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: RE: [cabfpub] Use of wildcard certificates by cloud operators<br>
<br>
I agree with the approach of giving the cloud operator the opportunity to remedy the situation.  Assuming the key has not been compromised, what we are looking for here is the end of the particular threat.  The best solution for all concerned is that the offending content is removed as quickly as possible, and with minimal interference to the cloud operator, and the honest members of their customer base.  If the cloud operator is unresponsive, or seems to continuously have these types of problems out of proportion to other operators, then we can use revocation.<br>

<br>
Something that needs to be pointed out here is that browser revocation checking/handling is spotty and there's nothing this Forum can do about that.  Some browsers, members of this Forum, have made perfect the enemy of good with respect to revocation handling and in so doing have completely dropped the ball for their users.  That being the case, to ALWAYS require revocation in this kind of instance without trying first to allow the cloud operator to handle the situation would still leave a lot of end users exposed.  What happens when we revoke, and those browsers who have chosen to punt on revocation checking don't pick it up because they've chosen performance over security, and the malicious content remains on the site?<br>

<br>
-Rich<br>
<br>
</div><div class="im HOEnZb">> -----Original Message-----<br>
> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>]<br>
</div><div class="im HOEnZb">> On Behalf Of Ben Wilson<br>
> Sent: Tuesday, May 06, 2014 11:17 AM<br>
> To: 'Gervase Markham'; 'Kelvin Yiu'; <a href="mailto:sleevi@google.com">sleevi@google.com</a>;<br>
</div><div class="HOEnZb"><div class="h5">> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Use of wildcard certificates by cloud operators<br>
><br>
> If the Baseline Requirements don't quite address the problem (higher<br>
> risk) the way we would like them to, then we ought to draft and propose<br>
> an amendment that says what we want it to say.  For instance, on #2<br>
> below, do we allow the cloud operator the opportunity to remedy the<br>
> problem and only revoke certificates where the operator fails to take<br>
> action with a certain amount of time?  Would an escalation procedure or<br>
> ratcheting process be good to include in the pre-revocation stage?  Are<br>
> there procedures elsewhere that have worked well in these types of<br>
> relationships that could be adapted to this use case?<br>
><br>
><br>
> -----Original Message-----<br>
> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>]<br>
> On Behalf Of Gervase Markham<br>
> Sent: Tuesday, May 06, 2014 4:01 AM<br>
> To: Kelvin Yiu; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Use of wildcard certificates by cloud operators<br>
><br>
> I agree with Ryan :-)<br>
><br>
> On 05/05/14 18:10, Kelvin Yiu wrote:<br>
> > 1.       Section 11.1.3 of the BR explicitly disallow wildcard<br>
> > certificates for registry controlled domains (e.g. *.com). The<br>
> Mozilla<br>
> > maintained <a href="http://publicsuffix.org" target="_blank">http://publicsuffix.org</a> is cited as an example of a public<br>
> > suffix list where Azure, GAE, and AWS domains can be found. Does the<br>
> > current usage of wildcard certificates by cloud operators violate the<br>
> > BR? If so, is this intentional and what is the reason?<br>
><br>
> No. The PSL is in two sections for precisely this reason - there are<br>
> privately-owned sites where an e.g. <a href="http://appspot.com" target="_blank">appspot.com</a> cookie should not be<br>
> allowed (allows one appspot site to perform cookie fixation attacks<br>
> against another) but a *.<a href="http://appspot.com" target="_blank">appspot.com</a> cert should be allowed. So we<br>
> split the PSL logically into two to put sites like this in their own<br>
> section.<br>
><br>
> > 2.       Section 13.1.5 of the BR explicitly require wildcard<br>
> > certificates that were “used to authenticate fraudulently misleading<br>
> > subordinate FQDN” to be revoked within 24 hours. If the fraudulent<br>
> > sites never had access to the private key of the wildcard certificate<br>
> > and the cloud operator has a process to take down fraudulent sites,<br>
> > should these wildcard certificates be required to be revoked?<br>
><br>
> Hmm. This is tricky. I suspect this situation was not considered when<br>
> we wrote that. I'd lean towards No, but I'm not sure that's what the<br>
> BRs say on their face, and I'd welcome more discussion.<br>
><br>
> Gerv<br>
> _______________________________________________<br>
> Public mailing list<br>
> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
> <a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
</div></div></blockquote></div><br></div></div>