<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 1, 2015 at 2:11 AM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That's all great, but what I'm interested in right now is what is *currently* supposed to be supported w.r.t. certificate enrolment in Microsoft's browsers.  (That post says nothing about IE, Edge or CertEnroll).</blockquote><div><br></div><div>As of Edge, no enrollment is directly supported by the browser.</div><div>ActiveX (therefore CertEnroll and XEnroll) was removed from Edge.</div><div><keygen> is not supported by Edge.</div><div><br></div><div>I can understand Jody's delays - multiple tweets to @MSEdgeDev and @jacobrossi and @frankoliver on the matter have gone unanswered, but the evidence remains :)</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
But would it support generating keypairs "in a FIPS 140-2 level 2 (or equivalent) crypto module", as required for EV Code Signing certs?</blockquote><div><br></div><div><keygen> itself has never explicitly supported that.</div><div>Chrome intentionally never will support that.</div><div><br></div><div>Only Firefox's implementation gave end users the choice of security module to use (e.g. software, hardware). However, <keygen> with virtually very COTS smart card would not work (due to vendor-specific provisioning schemes), so it only ever worked with FF with PKCS#15 cards, which are also virtually non-existent except in niche open-source communities.</div><div><br></div><div>So I mean, even under today's/yesterday's regime, <keygen> didn't offer suitable control to allow a CA to generate such an EV Code Signing cert with the necessary assurances.</div></div></div></div>