<div dir="ltr">Reposting for Peter</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 10, 2015 at 6:17 PM, Peter Bowen <span dir="ltr"><<a href="mailto:pzbowen@gmail.com" target="_blank">pzbowen@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Nov 9, 2015 at 8:52 AM, Doug Beattie<br>
<<a href="mailto:doug.beattie@globalsign.com">doug.beattie@globalsign.com</a>> wrote:<br>
</span><span class="">> But, publicly trusted certificates are<br>
> also used within company firewalls on intranets.  In this case the customer<br>
> may have an expectation (right or wrong) that the certificate and the FQDNs<br>
> contained within it remain “private”.  Exposing all FQDNs within internal<br>
> networks could represent a security concern as it could give attckers<br>
> information about the network they would otherwise not have.  We’ve received<br>
> this input when scanning internal networks for SSL certificates: customers<br>
> get twitchy about providing that info to us, never mind making is public.<br>
<br>
</span>I suspect customers are twitchy about providing this information to<br>
you because it shows they are violating their subscriber agreement and<br>
therefore you must revoke the certificate when the disclose such to<br>
you.<br>
<br>
This is clearly spelled out in the Baseline Requirements:<br>
<br>
Section 9.6.3 requires that all CA subscriber agreements require that<br>
the subscriber have "[a]n obligation and warranty to install the<br>
Certificate only on servers that are accessible at the<br>
subjectAltName(s) listed in the Certificate".  If the subscriber has<br>
installed it on a server that is internal, then it is clearly not<br>
accessible at the subjectAltName in the certificate.  Before someone<br>
suggests that the server being accessible internally at the SAN meets<br>
this requirement, it is important to realize that allowing this would<br>
effectively make this a pointless requirement.  I can set up private<br>
DNS server that allows me to make any name resolve to any address, so<br>
I could have a server accessible at <a href="http://www.globalsign.com" rel="noreferrer" target="_blank">www.globalsign.com</a> internally that<br>
has nothing to do with GlobalSign.<br>
<br>
Given that the customer has violated their subscriber agreement,<br>
section 4.9.1.1 kicks in. "The CA SHALL revoke a Certificate within 24<br>
hours if one or more of the following occurs:" ... "The CA is made<br>
aware that a Subscriber has violated one or more of its material<br>
obligations under the Subscriber or Terms of Use Agreement".<br>
<br>
So by notifying you that they are using the certificate on an<br>
internally accessible web server, they are effectively asking you to<br>
revoke their certificate.  I can see how they would be twitchy about<br>
doing so.<br>
<br>
This also means that the discussion about private certificates is<br>
basically moot.  Given that customers can only use them on a public<br>
server, there should be little issue of a customer complaining about<br>
disclosure.  How many people requests certificates they have no intent<br>
to use?<br>
<br>
Thanks,<br>
Peter<br>
<br>
(I give permission for anyone to repost this to <a href="mailto:public@cabforum.org">public@cabforum.org</a>)<br>
</blockquote></div><br></div>