<p dir="ltr">A near term solution would be what I proposed during the MTV F2F - which was to say that the absence of any EKUs or the presence of (anyEKU, kp-serverAuth) makes it in scope for BR compliance requirements.</p>
<p dir="ltr">This avoids the objections of those PKI purists that dislike the effective behaviors of NSS and CryptoAPI, while still gaining from the compliance requirements.</p>
<div class="gmail_quote">On Nov 3, 2014 12:45 PM, "Gervase Markham" <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi everyone,<br>
<br>
I wonder if the BRs should say that all non-root certs in a chain issued<br>
for SSL server use, which were issued after <date>, should have EKU<br>
id-kpServerAuth in them. Date would be, say, six months from now.<br>
<br>
This is primarily aimed at intermediates; EE certs all currently have<br>
this anyway. It would mean that, over time (years) as intermediates got<br>
replaced, we could eventually move to a position where it was entirely<br>
clear what certs were intended for Web PKI SSL use and what certs were not.<br>
<br>
Currently, any intermediate in the world issued by a publicly-trusted<br>
root can issue for SSL, even those intermediates which are not intended<br>
for such use. This leads to numerous problems, including the question of<br>
whether such intermediates need to be covered by a BR audit. Once this<br>
change had filtered through, it would be clear - they would not be.<br>
<br>
AIUI, EKU "chaining" (i.e. requiring an EKU to be present all the way up<br>
the chain) is not standard, but is implemented in NSS and elsewhere.<br>
<br>
I know this is a thing which only pays off in the long term, but I still<br>
think it's worth it. Does this make any sense, or have I missed<br>
something obvious? :-)<br>
<br>
Gerv<br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
</blockquote></div>