<div dir="ltr">> Using an OV or EV cert helps the consumer know exactly who they are communicating with, which, in this case, is not the domain registrant.<div><br></div><div>A consumer communicating with a domain registrant's CloudFront distribution or CloudFlare endpoint is communicating with the domain registrant. The CDN is the domain registrant's authorized representative.</div><div><br></div><div>As a domain registrant, I can get a DV certificate via any endpoint I set up using my powers as registrant. This can be a Raspberry Pi running in my home, a colocated metal server in a data center I own, an EC2 virtual server in "the cloud", or a CDN terminator I authorized. In all cases, it's my choice as the domain registrant what tools I use to demonstrate to a CA that I, the domain registrant, am in charge of the requested certificate's associated private key.</div><div><br></div><div>-- Eric</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 18, 2016 at 10:31 AM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I completely disagree. In fact, I think only OV or EV should be permitted for CDNs  order to accurately indicate that the CDN is operating the domain name, not the domain name registrant.  Using an OV or EV cert helps the consumer know exactly who they are communicating with, which, in this case, is not the domain registrant. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Jeremy<u></u><u></u></span></p><p class="MsoNormal"><a name="30289887__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></a></p><div><div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> <a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Adriano Santoni<br><b>Sent:</b> Thursday, February 18, 2016 2:41 AM<br><b>To:</b> <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] [Ticket#2016021801002046] F2F Topic details: What should be represented in the "O" field?<u></u><u></u></span></p></div></div><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Calibri",sans-serif">I am also in favour of only allowing DV certificates for CDNs.</span><u></u><u></u></p><div><p class="MsoNormal">Il 18/02/2016 10:12, LeaderTelecom B.V. ha scritto:<u></u><u></u></p></div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><p class="MsoNormal">Dear Wen-Cheng Wang,<br><br><span style="font-size:13.5pt;font-family:"Calibri",sans-serif;color:#1f497d">> One exception is the CDN SSL certificate, which is supposed to be a single certificate shared by many CDN customers which has their own domain names to be include the SAN field of the certificate. Since the CDN SSL certificate contains multiple domains owned by different organizations/entities, the value of the “O” field should be the official registered name of the CDN operator</span><br><br>It can confuse end customers while they don't know who is CDN and who is not CDN. I suggest to use only DV-certificates for CDN.<br><br><br>Please feel free to contact the undersigned any time with any questions or concerns that you may have.<br><br>--<br>Kind regards,<br>Aleksei Ivanov<br>Managing Director<br>LeaderTelecom B.V.<br><br>18.02.2016 05:43 - <span style="font-family:"MS Mincho"">王文正</span> wrote: <u></u><u></u></p><div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt"><div><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d">Chunghwa Telecom will not attend this F2F meeting, so here I would like to express our comments on this topic.</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d">I think that the value of the “O” field SHALL be the official registered name of the domain owner for OV and EV certificate since the owner is the only entity that is accountable and responsible for the certificate issued to its domain. Therefore, only the domain owner has the right to apply SSL certificates for its domains. If we allow OV and EV certificates to be issued without the notification of the domain owner, there might be some risk of man-in-the-middle attacks.</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d">One exception is the CDN SSL certificate, which is supposed to be a single certificate shared by many CDN customers which has their own domain names to be include the SAN field of the certificate. Since the CDN SSL certificate contains multiple domains owned by different organizations/entities, the value of the “O” field should be the official registered name of the CDN operator.</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d">In practice, the Applicant might not be the domain owner itself. However, in such kind of situation we always require that the Applicant to proof that the Domain Owner really delegate the Applicant to apply for SSL certificate on behalf of the owner. For example, a non-IT company might outsource the operation of its web site to an IT company and delegate the IT company to apply for SSL certificates on its behalf. In such situation, we always ask for the IT company to show the delegation of the non-IT company (the domain owner).</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d">For CDN SSL certificate, it is similar to the situation that the Domain Owners delegate the CDN operator to apply for SSL certificate for them. Therefore, we will always ask the CDN operator to show delegation of its CDN customers (the domain owners).</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d">For DV SSL certificate, there should be no “O” field. The reason is all the subject identity information present in the certificate must be validated by CA but the domain validation process does not actually validate whether it’s the domain owner who apply for the SSL certificate.</span><br><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span> <u></u><u></u></p><div><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d">Wen-Cheng Wang</span><u></u><u></u></p></div><p class="MsoNormal"><span style="font-family:"Calibri",sans-serif;color:#1f497d"> </span> <u></u><u></u></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><strong><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></strong><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> <a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org" target="_blank">mailto:public-bounces@cabforum.org</a>] <strong><span style="font-family:"Tahoma",sans-serif">On Behalf Of </span></strong>Dean Coclin<br><strong><span style="font-family:"Tahoma",sans-serif">Sent:</span></strong> Tuesday, February 16, 2016 8:25 AM<br><strong><span style="font-family:"Tahoma",sans-serif">To:</span></strong> Peter Bowen; Doug Beattie<br><strong><span style="font-family:"Tahoma",sans-serif">Cc:</span></strong> CABFPub<br><strong><span style="font-family:"Tahoma",sans-serif">Subject:</span></strong> Re: [cabfpub] F2F Topic details: What should be represented in the "O" field?</span><u></u><u></u></p></div></div><p class="MsoNormal"> <br><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">And here is a summary of the discussions up to now on this topic. For our discussion Thursday. Peter will also be presenting remotely.</span><br><br><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Dean</span><br><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span> <u></u><u></u></p><div><div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><strong><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></strong><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Peter Bowen [<a href="mailto:pzb@amzn.com" target="_blank">mailto:pzb@amzn.com</a>]<br><strong><span style="font-family:"Calibri",sans-serif">Sent:</span></strong> Monday, February 15, 2016 2:49 PM<br><strong><span style="font-family:"Calibri",sans-serif">To:</span></strong> Doug Beattie <<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>><br><strong><span style="font-family:"Calibri",sans-serif">Cc:</span></strong> Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>>; CABFPub <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br><strong><span style="font-family:"Calibri",sans-serif">Subject:</span></strong> Re: [cabfpub] F2F Topic details: What should be represented in the "O" field?</span><u></u><u></u></p></div></div><p class="MsoNormal">  <u></u><u></u></p><div><p class="MsoNormal">Doug,<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">I think those are both relevant questions.  The relationship between applicant and FQDN and subject and FQDN are related by separate topics.  See the attached summary of some of the dependencies.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div></div><p class="MsoNormal"><br><br><strong><span style="font-family:"MS Mincho"">本信件可能包含中華電信股份有限公司機密資訊</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">非指定之收件者</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">請勿蒐集、處理或利用本信件</span></strong><strong><span style="font-family:"Batang",serif">內容</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">並請銷毀此信件</span></strong><strong>. </strong><strong><span style="font-family:"MS Mincho"">如為指定收件者</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">應確實保護郵件中本公司之營業機密及個人資料</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">不得任意傳佈或揭露</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">並應自行確認本郵件之附檔與超連結之安全性</span></strong><strong>,</strong><strong><span style="font-family:"MS Mincho"">以共同善盡資訊安全與個</span></strong><strong> </strong><strong><span style="font-family:"MS Mincho"">資保護責任</span></strong><strong>.</strong><b><br><strong>Please be advised that this email message (including any attachments) contains confidential information and may be legally privileged. If you are not the intended recipient, please destroy this message and all attachments from your system and do not further collect, process, or use them. Chunghwa Telecom and all its subsidiaries and associated companies shall not be liable for the improper or incomplete transmission of the information contained in this email nor for any delay in its receipt or damage to your system. If you are the intended recipient, please protect the confidential and/or personal information contained in this email with due care. Any unauthorized use, disclosure or distribution of this message in whole or in part is strictly prohibited. Also, please self-inspect attachments and hyperlinks contained in this email to ensure the information security and to protect personal information.</strong></b><u></u><u></u></p></div><p class="MsoNormal"><br><br><br><u></u><u></u></p><pre>_______________________________________________<u></u><u></u></pre><pre>Public mailing list<u></u><u></u></pre><pre><a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><u></u><u></u></pre><pre><a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><u></u><u></u></pre></blockquote><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">-- <br><i>Adriano Santoni</i> <u></u><u></u></p></div></div></div></div></div><br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div>