<div dir="ltr"><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Peter Bowen</b> <span dir="ltr"><<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>></span><br>Date: Mon, Aug 24, 2015 at 3:58 PM<br>Subject: Remote access clarification<br><br><br>The Network and Certificate System Security Requirements set forth by<br>
the CA/Browser Forum discuss "remote" access to Certificate Management<br>
Systems.  Ben Wilson kindly suggested that remote is essentially when<br>
the access to the system occurs without needing physical access to the<br>
system.  The security requirements say says that remote access must be<br>
from a pre-approved IP address, via an intermediary device, and<br>
authenticated via multi-factor authentication.<br>
<br>
I'm having a hard time squaring this with what I've observed.  Most<br>
CAs appear to have some sort of web interface or API that allows<br>
customers to request certificates containing pre-approved or<br>
automatically validated domain names.  The latency from request to<br>
receipt of certificates is usually low latency, usually well under 10<br>
minutes, and is available around the clock.  This strongly suggests<br>
that there is automatic remote access involved.<br>
<br>
Additionally some CAs offer OCSP service which supports nonces in<br>
responses or signed unknown responses for anonymous requests. The<br>
response latency is usually a few seconds at most.  This also strongly<br>
suggests that there is remote access to the OCSP signing service with<br>
no authentication.<br>
<br>
How does this observed behavior square with the remote access security<br>
requirements?<br>
<br>
Thanks,<br>
Peter<br>
</div><br></div>