<div dir="ltr">Forward on behalf of Alec<div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Alec Muffett</b> <span dir="ltr"><<a href="mailto:alec.muffett@gmail.com">alec.muffett@gmail.com</a>></span><br>Date: Fri, Nov 6, 2015 at 7:20 AM<br><br><div dir="ltr"><div><div>Hi CA/Browser Forum!</div><div><br></div><div>I'm a software engineer and one of the authors of RFC 7686[0]; since 2001 I have maintained a personal blog[1] and it's overdue for a complete software refresh. I want to take advantage of Let's Encrypt[2] to provide normal HTTPS certificates for the blog, and I want a 100% HTTPS deployment when I am done.</div><div><br></div><div>I intend also to provide my blog with an Onion Address, thus my question:</div><div><br></div><div>On my blog I do not represent a company - I act purely as an individual; I expect to easily get a "normal" domain-related certificate from Let's Encrypt, but as an individual I will not be able to get an EV certificate for my Onion Site as mandated by CA/B Forum Ballot 144[3].</div><div><br></div><div>This situation inhibits me from protecting my personal blog's Onion Site with some form of Onion HTTPS certificate.</div><div><br></div><div>It further discriminates against my choice of software deployment as an individual.</div><div><br></div><div>Perhaps I could run my blog as HTTP-over-Onion and HTTPS-over-Internet, but this breaks my goal of a 100% HTTPS deployment. Clients of my Onion Site would not have access to HTTPS-only "Secure" cookies and other functionality which browsers today (or will soon) restrict to HTTPS[4] sites, e.g. Camera & Microphone access. This would be an undesirable lack of consistency.</div><div><br></div><div>It is not viable to hack the Tor Browser to support an "Onion-only" CA, because only some portion of Tor traffic uses the Tor Browser; non-browser apps which use Tor would not be able take advantage of such a kludge, and thereby would not see the benefit of SSL.</div><div><br></div><div>In any case, ".onion" is now an official special-use TLD, and therefore should be supported by official means.</div><div><br></div><div>After a hint from Ryan Sleevi - plus referring to the Mozilla CA glossary[5] - I did some research and think that I need either an AV (address validation) or an IV (individual validation) SSL Certificate for my personal blog's Onion Site.</div><div><br></div><div>Discussing likely use cases with Runa Sandvik[6], we believe that people who use Tor desire (at least) all of privacy, anonymity and integrity. The option that seems most sympathetic to all of these requirements is the AV (address validation) certificate. An AV certificate would provide an Onion Address with an SSL certificate (and thus a form of persistent identity) corresponding simply to an RFC822 email address. This would appear extremely well-suited to users of Onion-backed instant messenger software, such as Ricochet[7], especially those communicating without reference to "real world" identities.</div><div><br></div><div>The alternative of an IV (individual validation) certificate appears closer to the goals of the EV certificate, being a more expensive "absolute identity" certificate that would (per the Glossary) require "a Driving License, Passport, or National Identity Card" to get. This would be useful for instances where people wish to publicly attest to ownership of what they write / blog / post / publish, but would be less useful e.g. for whistleblowers operating in repressive regimes.</div><div><br></div><div>Frankly I see a need for both, and would be (for this case in point) happy to get one of either, but am also open to other alternatives which would not require me to register a company to bootstrap.</div><div><br></div><div>So, finally, the question: how may I go about obtaining a suitable, personal, Onion-capable SSL Certificate for my blog, please?</div><div><br></div><div>- Alec Muffett, London</div><div><br></div><div><br></div><div>[0] <a href="https://tools.ietf.org/html/rfc7686" target="_blank">https://tools.ietf.org/html/rfc7686</a><br></div><div>[1] <a href="http://dropsafe.crypticide.com/" target="_blank">http://dropsafe.crypticide.com/</a></div><div>[2] <a href="https://letsencrypt.org/howitworks/" target="_blank">https://letsencrypt.org/howitworks/</a></div><div>[3] <a href="https://cabforum.org/2015/02/18/ballot-144-validation-rules-dot-onion-names/" target="_blank">https://cabforum.org/2015/02/18/ballot-144-validation-rules-dot-onion-names/</a></div><div>[4] <a href="https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/" target="_blank">https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/</a></div><div>[5] <a href="https://wiki.mozilla.org/CA:Glossary" target="_blank">https://wiki.mozilla.org/CA:Glossary</a></div><div>[6] <a href="https://twitter.com/runasand/status/662341004373204993" target="_blank">https://twitter.com/runasand/status/662341004373204993</a></div><div>[7] <a href="https://ricochet.im/" target="_blank">https://ricochet.im/</a></div><div><br></div></div><div><div>[ This e-mail is also posted at <a href="http://dropsafe.crypticide.com/article/11697" target="_blank">http://dropsafe.crypticide.com/article/11697</a> with additional context ]</div></div><span class="HOEnZb"><font color="#888888">-- <br><div><a href="http://dropsafe.crypticide.com/aboutalecm" target="_blank">http://dropsafe.crypticide.com/aboutalecm</a><br></div><div><br></div>
</font></span></div>
</div><br></div></div>