<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <font face="Calibri">+1<br>
      I would endorse.<br>
    </font><br>
    <div class="moz-cite-prefix">Il 08/03/2016 15:11, Stephen Davidson
      ha scritto:<br>
    </div>
    <blockquote
cite="mid:CAA5A5DD4103604CBCF5A9DFEA0E75D1B76B5FC5@qvgoex01.qvglobal.local"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <meta name="Generator" content="Microsoft Word 15 (filtered
        medium)">
      <style><!--
/* Font Definitions */
@font-face
        {font-family:"MS Gothic";
        panose-1:2 11 6 9 7 2 5 8 2 4;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@MS Gothic";
        panose-1:2 11 6 9 7 2 5 8 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        mso-fareast-language:JA;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Courier New";
        mso-fareast-language:JA;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal">Currently the BR address wildcard
          certificates as follows:<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal" style="margin-left:.5in">Wildcard
          Certificate: A Certificate containing an asterisk (*) in the
          left‐most position of any of the Subject Fully‐Qualified
          Domain Names contained in the Certificate.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">The browsers implement this to mean “the
          asterisk must ONLY be in the left‐most position and must
          constitute the ENTIRE label”.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">That being said, there is some confusion
          among SSL buyers about what is allowable.  This probably stems
          from RFC 6125 section 7.2 which first argues against wildcards
          entirely, then recommends the use of the wildcard character
          alone in the left-most label, but also acknowledges the other
          historical wildcard variants found in other RFCs (such as
          HTTPS, LDAP, IMAP) including:<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal" style="margin-left:.5in">fo*.example.com<o:p></o:p></p>
        <p class="MsoNormal" style="margin-left:.5in">*.*.example.com<o:p></o:p></p>
        <p class="MsoNormal" style="margin-left:.5in"><a class="moz-txt-link-abbreviated" href="http://www.*.example.com">www.*.example.com</a><o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">crt.sh/certlint (thanks Rob and Peter)
          finds a handful of examples of these variants.  For the sake
          of clarity, I’d like to propose a simple amendment to the
          wildcard definition in the BR to say:<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal" style="margin-left:.5in">Wildcard
          Certificate: A Certificate containing an asterisk (*)
          <u>only</u> in the left‐most <u>label, and constituting that
            entire label,</u> of any of the Subject Fully‐Qualified
          Domain Names contained in the Certificate.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Thoughts?  Anyone willing to join in
          proposing a ballot?<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Regards, Stephen<o:p></o:p></p>
        <p class="MsoNormal">QuoVadis<o:p></o:p></p>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Public mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Public@cabforum.org">Public@cabforum.org</a>
<a class="moz-txt-link-freetext" href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a>
</pre>
    </blockquote>
    <br>
    <div class="moz-signature">-- <br>
      <p style="font-family: Serif">
        Cordiali saluti,<br>
        <br>
        Adriano Santoni<br>
        ACTALIS S.p.A.<br>
        (Aruba Group)</p>
    </div>
  </body>
</html>