<p dir="ltr">Reposting with permission</p>
<div class="gmail_quote">On Mar 10, 2015 9:35 PM, "Peter Bowen" <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Feb 5, 2015 at 9:11 AM, Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com">Dean_Coclin@symantec.com</a>> wrote:<br>
> The Code Signing Working Group of the CA/Browser Forum announces the final<br>
> draft of the Code Signing Baseline Requirements. This version takes into<br>
> account comments received in the first round of public review as well as<br>
> comments from WebTrust auditors. Additional changes/corrections were<br>
> incorporated by the working group over the past 3 months.<br>
><br>
> This version is being sent out to the public mailing list and will be posted<br>
> on the CA/B Forum website for final comments until March 6th, 2015.<br>
<br>
Apologies for not reading these in detail until four days after the deadline.<br>
<br>
I am concerned that it seems that EV Code Signing certificates are not<br>
a super set of standard (Baseline) Code Signing certificates.<br>
Specifically, EVCS section 9.2.2 forbids subject alternative names in<br>
EVCS certificates while the BRCS section 9.2.1 requires a SAN.<br>
Similarly, EVCS 9.2.3 indicates common name is deprecated but BRCS<br>
9.2.2 makes it mandatory.<br>
<br>
My expectation is that EV certificates always meet the requirements of<br>
the non-EV certificate such that systems that don't differentiate<br>
between EV and non-EV certificates can use EV certificates as standard<br>
certificates.<br>
<br>
Thanks,<br>
Peter<br>
</blockquote></div>