<p dir="ltr"><br>
On May 5, 2015 11:08 AM, "<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>" <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>> wrote:<br>
><br>
> How is security enhanced by the CA telling the Applicant to post [128 bit Random Value] instead of a one-time use phrase “Rosebud/Ryan Sleevi” on the website?  In each case, it is a shared secret created by the CA.  Using a “Random Value” does not enhance security in and of itself in this case.<br>
></p>
<p dir="ltr">There is no requirement today it be a one-time phrase. There is no requirement that the one-time phrase will not be predictable or controllable by the attacker.</p>
<p dir="ltr">This is the same reason why you white list email addresses or use a fixed URI for validation. Because CAs can and are choosing profoundly insecure methods, and the BRs permit this today.</p>
<p dir="ltr">Perhaps it would help to know why it would be so problematic to get sufficient random data.</p>