<p dir="ltr">Forwarding on Patrick's behalf. This does seem like a valid security bug in the new ballot.</p>
<div class="gmail_quote">---------- Forwarded message ----------<br>From: "Patrick Figel" <<a href="mailto:patfigel@gmail.com">patfigel@gmail.com</a>><br>Date: Apr 14, 2016 2:15 AM<br>Subject: [cabfquest] DV Proposal - filename-based confirmation<br>To:  <<a href="mailto:questions@cabforum.org">questions@cabforum.org</a>><br>Cc: <br><br type="attribution">Section 3.2.2.4.6 of the latest Domain Validation Proposal states the following:<br>
> Confirming the Applicant's control over the requested FQDN by confirming the<br>
> presence of a Random Value or Request Token (*contained in the name of the file*,<br>
> the content of a file, on a web page in the form of a meta tag, or any other<br>
> format as determined by the CA) under "/.well-known/pki-validation" directory,<br>
> or another path registered with IANA for the purpose of Domain Validation, on<br>
> the Authorization Domain Name that can be validated over an Authorized Port.<br>
<br>
Many web applications are configured to (internally) redirect requests for a<br>
non-existing resource to something like a front controller handling<br>
all requests,<br>
which might not necessarily reply with an appropriate HTTP Status Code.<br>
This language would allow misissuance for any FQDN with this type of<br>
configuration.<br>
<br>
To add to my previous point, I think it's worth considering whether the<br>
Random Value or Request Token should be allowed to be fully included in the<br>
request URL at all. If the URL is included in the response, it would technically<br>
confirm the presence of the token, unless the CA enforces a more specific<br>
format for the response.<br>
_______________________________________________<br>
Questions mailing list<br>
<a href="mailto:Questions@cabforum.org">Questions@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/questions" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/questions</a><br>
</div>