<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 8, 2016 at 8:30 AM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d">I agree it should be clarified, but I think we should add the text to section 7.1.4.2.1 and state that a wildcard cert is any certificate containing a wildcard character in a Subject Fully-Qualified Domain Name contained in a Certificate. Plus, we have something in 7.1.4.2.1 called a Wildcard FQDN that was never defined.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">If we amend the definition as you suggested, fo*.<a href="http://example.com" target="_blank">example.com</a> would no longer be considered a wildcard certificate. Rather than prohibit issuance, the change would exempt fo*.<a href="http://example.com" target="_blank">example.com</a> from the wildcard rules in the BRs and make it a normal string (because it doesn’t meet the wildcard definition). To make it simple, I suggest:</span></p></div></div></blockquote><div><br></div><div>I disagree with this possible interpretation being permissible, because you cannot potentially validate that fo*.<a href="http://example.com">example.com</a> is valid. For example, it does not conform to DNS hostname rules.</div><div><br></div><div>That said, I agree that there's the potential to be incorrectly interpreted, and your rewording is even more precise/clear :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><p class="MsoNormal"><span style="color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Revise the definition of a wildcard certificate:<u></u><u></u></span></p><p class="MsoNormal" style="margin-left:.5in">Wildcard Certificate: A Certificate containing an asterisk (*) in a Subject Fully‐Qualified Domain Name contained in the Certificate.<u></u><u></u></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Revise 7.1.4.2.1 as follows:<u></u><u></u></span></p><p class="MsoNormal">Contents: This extension MUST contain at least one entry. Each entry MUST be either a dNSName containing the Fully‐Qualified Domain Name or an iPAddress containing the IP address of a server. The CA MUST confirm that the Applicant controls the Fully‐Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate. <u>A dNSName entry MAY contain a wildcard character provided that  the wildcard character constitutes the entire left most label of the FQDN and only a single wildcard character is used in each FQDN.<u></u><u></u></u></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> </span></p></div></blockquote></div></div></div>