<div dir="ltr">Can you describe a situation in which this "oversight" creates any meaningful security issue?</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 22, 2014 at 6:56 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal">During the Code Signing BR discussion a few weeks ago, we noticed that the Baseline Requirements lack a definitive requirement for the CA to confirm that the Application is properly associated with the Public Key being included in the certificate. 
 We’d like to remedy this oversight.  What does everyone thing about adding a section similar to the following to the BRs?<br>
<br>
<u></u><u></u></p>
<p class="MsoNormal">Section 11.1.5    Verification of Key Pair Association<u></u><u></u></p>
<p class="MsoNormal">Prior to issuing a Certificate, the CA MUST verify that the Applicant’s Private Key is properly associated with the Public Key and a subject name to be included in the Certificate. The CA MAY verify this association by obtaining a CSR from
 the Applicant. <span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Jeremy<u></u><u></u></p>
</font></span></div>
</div>

<br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br></div>