
<p dir="ltr">Reposting for Peter.</p>

<div class="gmail_quote">On Aug 25, 2015 4:14 PM, "Peter Bowen" <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm sure there is a firewall in place, but the requirement is not just<br>

"proxied" or "firewall", it is multi-factor authentication and is via<br>

temporary non-persistent encrypted channel.<br>

<br>

Or am I not parsing the requirement and the CA can choose to require<br>

it for only remote administration but not regular access?<br>

<br>

On Tue, Aug 25, 2015 at 11:32 AM, Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com">Dean_Coclin@symantec.com</a>> wrote:<br>

> Couldn’t this “automatic remote access” be proxied such that there is no<br>

> direct connection from the outside?<br>

><br>

><br>

><br>

> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On<br>

> Behalf Of Ryan Sleevi<br>

> Sent: Tuesday, August 25, 2015 12:25 PM<br>

> To: CABFPub<br>

> Subject: [cabfpub] Remote access clarification<br>

><br>

><br>

><br>

><br>

><br>

> ---------- Forwarded message ----------<br>

> From: Peter Bowen <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>><br>

> Date: Mon, Aug 24, 2015 at 3:58 PM<br>

> Subject: Remote access clarification<br>

><br>

><br>

> The Network and Certificate System Security Requirements set forth by<br>

> the CA/Browser Forum discuss "remote" access to Certificate Management<br>

> Systems.  Ben Wilson kindly suggested that remote is essentially when<br>

> the access to the system occurs without needing physical access to the<br>

> system.  The security requirements say says that remote access must be<br>

> from a pre-approved IP address, via an intermediary device, and<br>

> authenticated via multi-factor authentication.<br>

><br>

> I'm having a hard time squaring this with what I've observed.  Most<br>

> CAs appear to have some sort of web interface or API that allows<br>

> customers to request certificates containing pre-approved or<br>

> automatically validated domain names.  The latency from request to<br>

> receipt of certificates is usually low latency, usually well under 10<br>

> minutes, and is available around the clock.  This strongly suggests<br>

> that there is automatic remote access involved.<br>

><br>

> Additionally some CAs offer OCSP service which supports nonces in<br>

> responses or signed unknown responses for anonymous requests. The<br>

> response latency is usually a few seconds at most.  This also strongly<br>

> suggests that there is remote access to the OCSP signing service with<br>

> no authentication.<br>

><br>

> How does this observed behavior square with the remote access security<br>

> requirements?<br>

><br>

> Thanks,<br>

> Peter<br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> Public mailing list<br>

> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

> <a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

><br>

</blockquote></div>