<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 27, 2015 at 1:24 PM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi Jody.  Another "gap" I've noticed with Edge is that, with ActiveX no<br>
longer supported, certificate enrolment using CertEnroll no longer works.<br>
<br>
This means that Edge can't be used to obtain Code Signing Certificates<br>
or S/MIME Certificates from many (if not most or even all) CAs.<br>
<br>
Do you have any plans to plug this gap?<br>
(Or is the long-term plan simply that CAs should recommend the use of a<br>
different browser?)<br>
<br>
Or, can you point me in the direction of some alternative certificate<br>
enrolment technology that Edge does already support?<br>
<br>
Thanks.<br></blockquote><div><br></div><div>Rob,</div><div><br></div><div>I think it's reasonable to suggest that browsers are getting _out_ of the Enrollment game.</div><div><br></div><div>In Blink, I'm in the process of deprecating the <keygen> implementation: <a href="https://groups.google.com/a/chromium.org/d/msg/blink-dev/pX5NbX0Xack/kmHsyMGJZAMJ">https://groups.google.com/a/chromium.org/d/msg/blink-dev/pX5NbX0Xack/kmHsyMGJZAMJ</a></div><div><br></div><div>This follows our existing deprecation of NPAPI (aka plugins) - <a href="https://www.chromium.org/developers/npapi-deprecation">https://www.chromium.org/developers/npapi-deprecation</a></div><div><br></div><div>Similarly, Mozilla is examining removal of <keygen> support - <a href="https://groups.google.com/d/msg/mozilla.dev.platform/pAUG2VQ6xfQ/FKX63BwOIwAJ">https://groups.google.com/d/msg/mozilla.dev.platform/pAUG2VQ6xfQ/FKX63BwOIwAJ</a> - after having removed .signText and .generateCRMFRequest - <a href="https://wiki.mozilla.org/SecurityEngineering/Removing_Proprietary_window.crypto_Functions">https://wiki.mozilla.org/SecurityEngineering/Removing_Proprietary_window.crypto_Functions</a></div><div><br></div><div>As you may or may not be aware, IE and Edge have never supported the <keygen> tag, instead with IE supporting ActiveX plugins (CertEnroll / XEnroll), and Edge supporting neither.</div><div><br></div><div>If you were to read the tealeaves for the past two years, you would see that the idea of using Browsers as a delivery mechanism for making system-wide changes is on the way out - and this includes key enrollment and management.</div><div><br></div><div>Long-term, CAs should look outside browsers, period, for the means to handle certificate enrollment.</div></div></div></div>