<div class="gmail_quote">---------- Forwarded message ----------<br>From: "Peter Bowen" <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>><br>Date: Mar 15, 2015 1:25 PM<br>Subject: [CABFORUM] Certificate Policies extension in Subordinate CA Certificates<br>To: "Ryan Sleevi" <<a href="mailto:sleevi@google.com">sleevi@google.com</a>><br>Cc: <br><br type="attribution">Section 9.3.3 and Appendix B of the Baseline Requirements provide two<br>
different sets of requirements for Subordinate CA (SubCA)<br>
certificates.<br>
<br>
Both break down Subordinate CA certificates into two categories: where<br>
the SubCA is an affiliate of the Root CA and when the SubCA is not an<br>
affiliate.<br>
<br>
For affiliate SubCAs, Appendix B says the certificatePolicies<br>
extension MUST be present and MUST have a policyIdentifier. 9.3.3 says<br>
MAY include an identifier and MAY contain the anyPolicy identifier.<br>
9.3.3 does not have any MUST statements for an affiliate SubCA.<br>
<br>
For non-affiliate SubCAs, Appendix B says the certificatePolicies<br>
extension MUST be present and MUST have a policyIdentifier AND the<br>
policyQualifierId and cPSuri fields MAY be present.  9.3.3 says MUST<br>
include an explicit policy identifier and MAY not contain the<br>
anyPolicy identifier.<br>
<br>
Is the intent that all Subordinate CAs MUST have at least one<br>
policyIdentifier?  Or is the certificatePolicies extension optional<br>
for affiliate SubCAs?<br>
<br>
Google's CT log shows that the majority of CAs are including the<br>
extension in SubCA certificates, but not all are.<br>
<br>
Thanks,<br>
Peter<br>
</div>