<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 26, 2015 at 3:04 PM, Geoff Keating <span dir="ltr"><<a href="mailto:geoffk@apple.com" target="_blank">geoffk@apple.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div class="h5"><span style="color:rgb(34,34,34)">I meant, they can order the same wildcard certificate.  I’d hope there aren’t CAs who will allow orders for </span><a href="http://facebook.example.com" target="_blank">facebook.example.com</a><span style="color:rgb(34,34,34)"> even as DV.</span><br></div></div></div></blockquote></div><br></div><div class="gmail_extra">[high risk] sort of follows the Potter-Stewart Rule [1], which is perhaps one of the grand hard problems to quantify for procedures and process. <a href="http://Facebook.example.com">Facebook.example.com</a> might be "high risk, won't issue" - but the BRs certainly allow a CA to do so, perhaps under assurances that the customer "Contractually agrees not to impersonate Facebook". As far as technical controls go, [high risk] is for the most part meaningless as something you can pin a hard security guarantee on, but hopefully enough of an incentive for CAs to do some degree of due diligence.</div><div class="gmail_extra"><br></div><div class="gmail_extra">It just doesn't make sense to use to justify an argument against wildcards, precisely because it's a very fluid and loose definition means it's not a firm security control. If we accent that firm security controls aren't strictly required, and that process controls work, than process controls against wildcards can work the same (e.g. "I'll give you a wildcard EV, but only if you contractually agree not to impersonate Facebook")</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">[1] <a href="http://en.wikipedia.org/wiki/I_know_it_when_I_see_it">http://en.wikipedia.org/wiki/I_know_it_when_I_see_it</a></div></div>