
<div dir="ltr">I think that would be a highly unfortunate direction to take from this, and one that we'd have trouble supporting.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 23, 2014 at 8:22 PM, Richard@WoSign <span dir="ltr"><<a href="mailto:richard@wosign.com" target="_blank">richard@wosign.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">For Wildcard certificate, I think we must limit to OV SSL only. But I found some CA issued wildcard SSL to DV, this is a big problem.<br>


<br>

<br>

Regards,<br>

<br>

Richard<br>

<div class="im HOEnZb"><br>

-----Original Message-----<br>

From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On Behalf Of Kelvin Yiu<br>

</div><div class="HOEnZb"><div class="h5">Sent: Saturday, May 24, 2014 2:49 AM<br>

To: Rick Andrews; <a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Use of wildcard certificates by cloud operators<br>

<br>

That's correct. The cloud operator would have to meet all 4 requirements.<br>

<br>

I would like to know the type of evidence CAs would need for #1 and #2.<br>

<br>

Kelvin<br>

<br>

-----Original Message-----<br>

From: Rick Andrews [mailto:<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>]<br>

Sent: Friday, May 23, 2014 11:01 AM<br>

To: Kelvin Yiu; <a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: RE: [cabfpub] Use of wildcard certificates by cloud operators<br>

<br>

Just to be clear, Kelvin, the CA SHALL revoke the cert if the cloud service provider doesn't provide evidence of ALL of the four items you listed.<br>

<br>

-Rick<br>

<br>

-----Original Message-----<br>

From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On Behalf Of Kelvin Yiu<br>

Sent: Friday, May 23, 2014 10:03 AM<br>

To: <a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Use of wildcard certificates by cloud operators<br>

<br>

Thanks Rich.<br>

<br>

I want to make a change before moving forward with a ballot since I didn't specify any time periods in my previous draft. Here is the updated section 13.1.5.<br>

<br>

7. The CA is made aware that a Wildcard Certificate has been used to authenticate a fraudulently misleading subordinate Fully-Qualified Domain Name, except when the Subscriber is a cloud service provider. The CA SHALL revoke a Wildcard Certificate issued to cloud service provider within 5 days if the cloud service provider do not provide evidence of the following:<br>


1.      Maintains a process that identifies potentially misleading subordinate domain names for additional approval<br>

2.      Regularly monitors the Domain Namespace for fraudulent activities<br>

3.      The fraudulent activities has been removed, or will investigate and remove the fraudulent activities within 24 hours upon notification by the CA<br>

4.      Asserts that the Private Key corresponding to the Public Key in the Wildcard Certificate has not been compromised<br>

<br>

Thanks,<br>

<br>

Kelvin<br>

<br>

-----Original Message-----<br>

From: Rich Smith [mailto:<a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>]<br>

Sent: Friday, May 23, 2014 7:26 AM<br>

To: Kelvin Yiu; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

Subject: RE: [cabfpub] Use of wildcard certificates by cloud operators<br>

<br>

Kelvin,<br>

Thanks, this looks good to me.  I'll endorse.<br>

Regards,<br>

Rich<br>

<br>

> -----Original Message-----<br>

> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>]<br>

> On Behalf Of Kelvin Yiu<br>

> Sent: Thursday, May 22, 2014 8:09 PM<br>

> To: <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>

> Subject: Re: [cabfpub] Use of wildcard certificates by cloud operators<br>

><br>

> Here is my first stab at the changes. The redline version is attached.<br>

><br>

> Change the first 2 paragraphs in section 11.1.3 to:<br>

><br>

> Before issuing a certificate with a wildcard character (*) in a CN or<br>

> subjectAltName of type DNS-ID, the CA MUST establish and follow a<br>

> documented procedure† that determines if the wildcard character occurs<br>

> in the first label position to the left of a public “registry-<br>

> controlled” label (e.g. “*.com”, “*.<a href="http://co.uk" target="_blank">co.uk</a>”). CAs may consult with<br>

> “public suffix lists” to identify public “registry-controlled” domains.<br>

> See RFC 6454 Section 8.2 for further explanation).<br>

><br>

> If a wildcard would fall within the label immediately to the left of a<br>

> public “registry-controlled” domain†, CAs MUST refuse issuance unless<br>

> the applicant proves its rightful control of the entire Domain<br>

> Namespace. (e.g. CAs MUST NOT issue “*.<a href="http://co.uk" target="_blank">co.uk</a>” or “*.com”, but MAY<br>

> issue “*.<a href="http://example.com" target="_blank">example.com</a>” to Example Co.). Domains registered to cloud<br>

> service providers or Internet hosting service providers are not<br>

> considered to be public if the provider maintains reasonable controls<br>

> to monitor its Domain Namespace for fraudulent activities and remove<br>

> any fraudulent Subdomains.<br>

><br>

> Change #7 of section 13.1.5 to:<br>

><br>

> 7. The CA is made aware that a Wildcard Certificate has been used to<br>

> authenticate a fraudulently misleading subordinate Fully-Qualified<br>

> Domain Name;, except when the Subscriber is a cloud service provider.<br>

> The CA SHALL revoke a Wildcard Certificate issued to cloud service<br>

> provider within nn days if the cloud service provider do not provide<br>

> evidence of the following:<br>

>     a.    Maintains a process that identifies potentially misleading<br>

> subordinate domain names for additional approval<br>

>     b.    Regularly monitors the Domain Namespace for fraudulent<br>

> activities<br>

>     c.    The fraudulent activities has been removed, or will<br>

> investigate and remove the fraudulent activities within nn hours upon<br>

> notification by the CA<br>

>     d.    Asserts that the Private Key corresponding to the Public Key<br>

> in the Wildcard Certificate has not been compromised<br>

><br>

> Thanks,<br>

><br>

> Kelvin<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

</div></div><br>_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

<br></blockquote></div><br></div>