
<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Wed, 2 Sep 2015 at 14:03 Stephen Davidson <<a href="mailto:S.Davidson@quovadisglobal.com">S.Davidson@quovadisglobal.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello:<br>

<br>

Joining in, hoping for some clarity regarding the future of certenroll in<br>

Edge.<br>

<br>

I know the CABF really centers upon TLS but as we have the "interested<br>

parties in the room", it would provide a useful forum to discuss the future<br>

of certenroll, keygen and webcrypto for client side key generation.<br></blockquote><div><br></div><div class="gmail_quote"><br class="Apple-interchange-newline">Its an interesting problem, and clearly one that's platform-wide, which is why browsers were never a good fit for it (despite their obvious attraction).</div><div class="gmail_quote"><br></div><div class="gmail_quote">It seems to me that this is a problem that should be solved at the OS level...</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Best, Stephen<br>

<br>

<br>

-----Original Message-----<br>

From: <a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>] On<br>

Behalf Of Rob Stradling<br>

Sent: Wednesday, September 02, 2015 6:16 AM<br>

To: Ryan Sleevi<br>

Cc: Dean Coclin; Rick Andrews; <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Browsers & Enrollment (was Re: Edge Browser Can't<br>

View Certificate)<br>

<br>

On 01/09/15 17:49, Ryan Sleevi wrote:<br>

> On Tue, Sep 1, 2015 at 2:11 AM, Rob Stradling<br>

> <<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a> <mailto:<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>>> wrote:<br>

><br>

>     That's all great, but what I'm interested in right now is what is<br>

>     *currently* supposed to be supported w.r.t. certificate enrolment in<br>

>     Microsoft's browsers.  (That post says nothing about IE, Edge or<br>

>     CertEnroll).<br>

><br>

><br>

> As of Edge, no enrollment is directly supported by the browser.<br>

> ActiveX (therefore CertEnroll and XEnroll) was removed from Edge.<br>

> <keygen> is not supported by Edge.<br>

><br>

> I can understand Jody's delays - multiple tweets to @MSEdgeDev and<br>

> @jacobrossi and @frankoliver on the matter have gone unanswered, but<br>

> the evidence remains :)<br>

<br>

Ryan, I don't dispute that CertEnroll doesn't work in Edge right now.<br>

<br>

What I want to know is:<br>

Are Microsoft planning to do anything about that?<br>

<br>

There seems little point in CAs attempting to engineer alternative<br>

non-browser-based solutions if (for example) Microsoft might do a U-turn and<br>

add ActiveX support to Edge.<br>

<br>

Given that Microsoft's platform is arguably the primary user of EV and<br>

non-EV Code Signing Certificates, ISTM that Microsoft might just possibly<br>

like the idea that it should be a) possible and b) relatively easy for<br>

software developers to obtain (EV) code signing certs from CAs!<br>

<br>

Frankly, it baffles me that Microsoft are simultaneously a) pushing for<br>

increased use of EV Code Signing Certificates for Win10 and b) making it<br>

harder to obtain EV Code Signing Certificates using Win10.<br>

<br>

>     But would it support generating keypairs "in a FIPS 140-2 level 2<br>

>     (or equivalent) crypto module", as required for EV Code Signing certs?<br>

><br>

> <keygen> itself has never explicitly supported that.<br>

> Chrome intentionally never will support that.<br>

<br>

Sure.  But CertEnroll does/did.<br>

<br>

> Only Firefox's implementation gave end users the choice of security<br>

> module to use (e.g. software, hardware). However, <keygen> with<br>

> virtually very COTS smart card would not work (due to vendor-specific<br>

> provisioning schemes), so it only ever worked with FF with PKCS#15<br>

> cards, which are also virtually non-existent except in niche<br>

> open-source communities.<br>

><br>

> So I mean, even under today's/yesterday's regime, <keygen> didn't<br>

> offer suitable control to allow a CA to generate such an EV Code<br>

> Signing cert with the necessary assurances.<br>

<br>

--<br>

Rob Stradling<br>

Senior Research & Development Scientist<br>

COMODO - Creating Trust Online<br>

<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

</blockquote></div></div>