<div dir="ltr">+1<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 8, 2016 at 9:53 AM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">+1 - That's long been the interpretation for which we expected CAs to follow, and were surprised and dismayed there was any confusion.</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 8, 2016 at 6:20 AM, Adriano Santoni <span dir="ltr"><<a href="mailto:adriano.santoni@staff.aruba.it" target="_blank">adriano.santoni@staff.aruba.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <font face="Calibri">+1<br>
      I would endorse.<br>
    </font><div><div><br>
    <div>Il 08/03/2016 15:11, Stephen Davidson
      ha scritto:<br>
    </div>
    </div></div><blockquote type="cite"><div><div>
      
      
      
      <div>
        <p class="MsoNormal">Currently the BR address wildcard
          certificates as follows:<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal" style="margin-left:.5in">Wildcard
          Certificate: A Certificate containing an asterisk (*) in the
          left‐most position of any of the Subject Fully‐Qualified
          Domain Names contained in the Certificate.<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal">The browsers implement this to mean â€œthe
          asterisk must ONLY be in the left‐most position and must
          constitute the ENTIRE label”.<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal">That being said, there is some confusion
          among SSL buyers about what is allowable.  This probably stems
          from RFC 6125 section 7.2 which first argues against wildcards
          entirely, then recommends the use of the wildcard character
          alone in the left-most label, but also acknowledges the other
          historical wildcard variants found in other RFCs (such as
          HTTPS, LDAP, IMAP) including:<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal" style="margin-left:.5in">fo*.<a href="http://example.com" target="_blank">example.com</a><u></u><u></u></p>
        <p class="MsoNormal" style="margin-left:.5in">*.*.<a href="http://example.com" target="_blank">example.com</a><u></u><u></u></p>
        <p class="MsoNormal" style="margin-left:.5in"><a href="http://www.*.example.com" target="_blank">www.*.example.com</a><u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal"><a href="http://crt.sh/certlint" target="_blank">crt.sh/certlint</a> (thanks Rob and Peter)
          finds a handful of examples of these variants.  For the sake
          of clarity, I’d like to propose a simple amendment to the
          wildcard definition in the BR to say:<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal" style="margin-left:.5in">Wildcard
          Certificate: A Certificate containing an asterisk (*)
          <u>only</u> in the left‐most <u>label, and constituting that
            entire label,</u> of any of the Subject Fully‐Qualified
          Domain Names contained in the Certificate.<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal">Thoughts?  Anyone willing to join in
          proposing a ballot?<u></u><u></u></p>
        <p class="MsoNormal"><u></u> <u></u></p>
        <p class="MsoNormal">Regards, Stephen<u></u><u></u></p>
        <p class="MsoNormal">QuoVadis<u></u><u></u></p>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><pre>_______________________________________________
Public mailing list
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><span><font color="#888888">
</font></span></pre><span><font color="#888888">
    </font></span></blockquote><span><font color="#888888">
    <br>
    <div>-- <br>
      <p style="font-family:Serif">
        Cordiali saluti,<br>
        <br>
        Adriano Santoni<br>
        ACTALIS S.p.A.<br>
        (Aruba Group)</p>
    </div>
  </font></span></div>


<br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br></div>