<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 9, 2015 at 8:42 AM, Doug Beattie <span dir="ltr"><<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Ryan,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I’m not following your statement that “If a cert transitively chains to a publicly trusted root, it should be public, technically constrained subordinate CA notwithstanding.”<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Mozilla requires the CA certificates to be publically disclosed, but I haven’t found anything saying that all SSL certificates under a CA (technically constrained or not) need to be publically disclosed.  Audited, yes.  Did I miss something in one of the Root policies or the BRs that says all SSL certificates need to be publically disclosed?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Doug</span></p></div></div></blockquote><div><br></div><div>Doug,</div><div><br></div><div>I wasn't trying to suggest that all certificates MUST be disclosed - but simply that 'privacy' is simply not an acceptable answer for a publicly trusted CA, especially in the event of a misissuance event. That is, a CA should reasonably expect that they MUST disclose the full contents of all certificates, and the failure to do so is a serious red flag that will be prevented in future root policy updates.</div><div><br></div><div>When a CA fails to abide by their stated policies, or the Baseline Requirements and EV Guidelines, it seriously calls into question their credibility for explaining events. Having a public examination of the certificates issued ensures that interested parties can, for example, look for other certificates that demonstrate the same patterns of misissuance, which might call into question the very nature of the reported scope.</div><div><br></div><div>At question here is whether or not it's reasonable to 'not disclose' some leaf certificates, and while Phil raises some very interesting points to be responded to separately, the argument of "It's publicly trusted, but can't be publicly disclosed" is simply without strong merit.</div><div><br></div><div>This differs from the obligation to proactively disclose intermediates, but both are contextually relevant in that "chaining to a publicly trusted root makes them a matter of public interest" - especially if misissued.</div><div><br></div><div>Does that make more sense?</div><div><br></div><div>Cheers,</div><div>Ryan</div></div></div></div>