
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">The risk associated with the lack of actual control is the basis for all the historic arguments of OV v. DV. Really, this is just saying domain validation without

 another confirmation is a security risk, IMO. With both EV and OV, you get confirmation of authorization from the org, meaning there is at least an additional tie to the applicant.  With Live.fi, there would have been another check to ensure Microsoft actually

 authorized the certificate, not just the controller of the email address. <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Jeremy<o:p></o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></a></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]

<b>On Behalf Of </b>Eddy Nigg<br>

<b>Sent:</b> Monday, March 30, 2015 4:06 PM<br>

<b>To:</b> public@cabforum.org<br>

<b>Subject:</b> Re: [cabfpub] Non-whitelisted email addresses used for DV issuing<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On 03/30/2015 05:55 PM, Adriano Santoni - Actalis S.p.A. wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-family:"Calibri",sans-serif">I do not agree with our company being listed as "affected", as our CPS does not allow non-whitelist email addresses. However, Will's rationale is that - regardless of the BRs - domain validation

 by email is a security problem in itself, even when only whitelisted email addresses are used:</span><o:p></o:p></p>

</blockquote>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

But for this we have EV (and even IV/OV validations to some extend). It's obviously and clearly known that domain control validations have their limits, on the other hand are also very useful for the right purpose (where the right purpose is probably an open

 question depending on the CA, browser, subscriber and relying party).<o:p></o:p></p>

<div>

<p class="MsoNormal">-- <o:p></o:p></p>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0">

<tbody>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Regards <o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Signer: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Eddy Nigg, COO/CTO<o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://www.startcom.org">StartCom Ltd.</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">XMPP: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="xmpp:startcom@startcom.org">startcom@startcom.org</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Blog: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://blog.startcom.org">Join the Revolution!</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Twitter: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://twitter.com/eddy_nigg">Follow Me</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><span style="color:windowtext"><o:p> </o:p></span></p>

</div>

</div>

</body>

</html>