<div dir="ltr">It may contain PII or be transferred with a transaction id of some sort so almost always goes over SSL at a minimum.<div><br></div><div>Ryan</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Jun 4, 2014 at 11:33 AM, Adam Langley <span dir="ltr"><<a href="mailto:agl@google.com" target="_blank">agl@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Tue, Jun 3, 2014 at 5:14 AM, Rob Stradling <<a href="mailto:rob.stradling@comodo.com">rob.stradling@comodo.com</a>> wrote:<br>
> How does the attacker obtain the legitimate customer's CSR?<br>
<br>
</div>A CSR isn't generally considered secret, right? I wouldn't think to protect it.<br>
<br>
<br>
Cheers<br>
<br>
AGL<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
</div></div></blockquote></div><br></div>